Ga naar de hoofdinhoud

Keenfinity Responsible Disclosure-beleid

Keenfinity biedt producten van de beste kwaliteit en betrouwbaarheid. Dit omvat mede het waarborgen van cyberbeveiliging en het beschermen van de privacy van onze klanten gedurende de gehele levenscyclus van het product. De Keenfinity Product Security Organization ondersteunt en helpt dan ook bij het oplossen van beveiligingsproblemen in Keenfinity-producten die zijn gemeld door externe beveiligingsonderzoekers, partners of klanten.

De Keenfinity Product Security Organization coördineert maatregelen in geval van potentiële beveiligingslekken of incidenten met de verantwoordelijke ingenieurs en ontwikkelingsteams. Deel hiervan is het opstellen van een passend reactieplan alsmede het onderhouden van regelmatige communicatie met de meldende partij. Keenfinity moedigt gecoördineerde openbaarmaking van beveiligingslekken aan en verzoekt de meldende partij vriendelijk om het veiligheidslek vertrouwelijk te behandelen totdat wij een oplossing beschikbaar hebben gesteld.

Wij verwelkomen meldingen van veiligheidslekken en nodigen onderzoekers, sectororganisaties, CERT's (Computer Emergency Response Teams), partners en overige bronnen uit deze rechtstreeks bij ons te melden. Wij respecteren de belangen van de meldende partijen (anonieme meldingen zijn eveneens welkom) en verbinden ons ertoe elke kwetsbaarheid te behandelen waarvan redelijkerwijs kan worden aangenomen dat deze verband houdt met onze producten of diensten. Wij dringen er bij meldende partijen met klem op aan om tot een gecoördineerde openbaarmaking over te gaan: directe publicatie stelt onze klantsystemen bloot aan onnodige risico's.

Wij erkennen en waarderen de bijdrage van meldende partijen aan onze beveiliging door het identificeren en melden van kwetsbaarheden, en hun medewerking aan de bescherming van Keenfinity-klanten en het algemeen belang.

Keenfinity zegt dit toe:

Wij verzoeken de meldende partij vriendelijk om een onopgeloste beveiligingslek niet te delen met - of openbaar te maken aan derden.

Op grond van het Keenfinity Responsible Disclosure-beleid leveren de Keenfinity Product Security Organization en ontwikkelteams alle redelijke inspanningen om:

  • Snel te reageren en ontvangst te bevestigen van het rapport over het beveiligingslek
  • Een geschat tijdsbestek te geven voor het aanpakken van het rapport van het beveiligingslek
  • De melder te informeren als de het beveiligingslek is verholpen.

Onze standaardreactietijd om de ontvangst van rapporten over beveiligingslekken te bevestigen bedraagt normaliter 2 werkdagen. Statusupdates van gemelde beveiligingslekken worden gegeven zodra relevante informatie beschikbaar is.

Keenfinity stemt ermee in geen claims in te dienen tegen meldende partijen met betrekking tot aan ons verstrekte informatie op voorwaarde dat:

  • De melder geen schade toebrengt aan Keenfinity, onze klanten of anderen.
  • De meldende partij de privacy of veiligheid van onze klanten of de werking van onze diensten niet in gevaar brengt.
  • De meldende partij geen strafrechtelijke bepalingen overtreedt.
  • De meldende partij de informatie over het beveiligingslek pas openbaar maakt nadat Keenfinity heeft bevestigd dat dit is verholpen.