Responsible Disclosure

Heb je een kwetsbaarheid gevonden? Laat het ons dan zo snel mogelijk weten.

We vinden het bij AFAS belangrijk dat onze systemen en de gegevens die we verwerken veilig zijn. Daarom besteden we er ook veel en zorgvuldig aandacht aan om die veiligheid te waarborgen.

Desondanks kan het gebeuren dat je misschien een kwetsbaarheid hebt gevonden, of dat je wil onderzoeken of onze systemen daadwerkelijk wel zo veilig zijn. Op deze pagina leggen we daarom graag uit wat je van ons mag verwachten en hebben we een aantal spelregels opgesteld om alles in goede banen de leiden.

Scope

De scope beschrijft op welke assets de 'responsible disclosure' van toepassing is en sluit daarmee alles wat niet genoemd is uit. Wil je iets bij ons melden/onderzoeken, maar valt het buiten de scope? Neem dan contact met ons op om te overleggen wat je het beste kunt doen.

Algemeen

Onze bedrijfswebsites:

  • www.afas.nl
  • www.afas.be
  • www.afas.com
  • help.afas.nl / afas.help
  • klant.afas.nl
  • connect.afas.nl
  • refinery.afaslink.nl
  • www.afaslink.nl

AFAS Online:

  • idp.afasonline.com
  • login.afasonline.com
  • portal.afasonline.com
  • sts.afasonline.com

Klant

Ben je klant bij ons? Dan is het toegestaan om de endpoints die wij voor je beschikbaar hebben gesteld te onderzoeken. Een onderzoek mag ook met je eigen toestemming door een derde partij worden uitgevoerd. Het endpoint valt binnen de volgende domeinen/ip-reeksen:

  • *.insiteaccept.afas.online
  • *.insitetest.afas.online
  • *.soapaccept.afas.online
  • *.soaptest.afas.online
  • *.restaccept.afas.online
  • *.resttest.afas.online
  • Test- of accept OutSite pagina op eigen domein die valt binnen de volgende ip-reeksen:
    • 185.46.183.0/29
    • 185.46.183.8/31
    • 185.46.183.10/32
    • 185.46.183.101/32
    • 185.46.183.102/31
    • 185.46.183.104/29
    • 185.46.183.112/28
    • 185.46.183.128/28
    • 185.46.183.144/31

Houdt in het achterhoofd dat op AFAS Online systeembronnen gedeeld kunnen worden met andere klanten. Om die reden verwachten we dat dat een onderzoek vanuit een accept- of test omgeving wordt uitgevoerd. Uiteindelijk is het ook in het eigen belang dat het primaire proces niet onverhoopt wordt verstoord.

Wat mag je niet

  • Aanvallen uitvoeren met als doel om onze dienstverlening onbereikbaar te maken. Bijvoorbeeld via aanvallen op de fysieke beveiliging of (Distributed) Denial of Service aanvallen 
  • Phishing of andere vormen van Social Engineering tegen onze medewerkers gebruiken
  • Gevonden kwetsbaarheden verder uitbuiten dan een Proof of Concept
  • Onnodig data extraheren, aanpassen en/of verwijderen via ongeautoriseerde toegang
  • Endpoints van andere klanten onderzoeken

 

Hier worden we blij van

  • Voer je onderzoek uit in een accept- of test omgeving
  • Zorg dat onze klanten geen hinder ondervinden van je onderzoek
  • Meldt een gevonden kwetsbaarheid zo snel mogelijk
  • Beperk je onderzoek zoveel mogelijk tot pentesten, vulnerability scans voeren we zelf op dagelijkse basis uit
  • Hang een gevonden kwetsbaarheid niet aan de grote klok. We stellen het op prijs dat je ons de kans geeft om een probleem op te lossen

We gaan vertrouwelijk met je informatie om

Wat mag je van ons verwachten?

  • Je ontvangt op werkdagen binnen 72 uur van ons een eerste reactie op de gerapporteerde melding
  • In goed overleg maken we afspraken met elkaar over de afhandeling van de melding en op welke termijn deze eventueel opgelost is
  • We gaan uiterst vertrouwelijk om met toegestuurde informatie om en hanteren daarbij het need-to-know principe
  • Wanneer je je aan onze spelregels houdt ondernemen we geen juridische stappen n.a.v. je onderzoek
  • Afhankelijk van de gevonden kwetsbaarheid zullen we je op gepaste wijze bedanken

Heb je nog vragen of opmerkingen?

De informatie die je nodig hebt niet kunnen vinden? Geen antwoord gekregen op je vraag? Neem gerust contact met ons op!