Kwetsbaarheden melden
Samen werken aan een betere beveiliging.
Op het Johannes Fontanus College (JFC) nemen we de beveiliging van onze systemen, medewerkers en leerlingen zeer serieus. Als u een kwetsbaarheid in een van onze systemen heeft gevonden, stellen wij het zeer op prijs als u ons hierover informeert. Zo kunnen we samen werken aan betere beveiliging.
Wat wij van u vragen:
Meld uw bevindingen bij ons
U kunt uw bevindingen op de volgende manieren melden:
- Per e-mail: Stuur een bericht naar: security@jfc.nl
- Beveiligd via Zivver: Maak gebruik van deze Zivver-link om uw melding veilig in te dienen.
Wij accepteren anonieme meldingen (zoals via een anonieme e-maildienst als ProtonMail) en behandelen deze met dezelfde zorg en prioriteit als niet-anonieme meldingen. Houd er echter rekening mee dat wij bij een anonieme melding u mogelijk niet kunnen informeren over de voortgang of u aanvullende vragen stellen.
Zorg dat u voldoende informatie verstrekt, zoals:
- De URL of naam van het systeem waarin de kwetsbaarheid is gevonden.
- Een duidelijke beschrijving van de kwetsbaarheid.
- Eventueel bewijs (bijvoorbeeld logbestanden of screenshots), zolang deze geen gevoelige gegevens bevatten.
Gebruik de kwetsbaarheid niet
om meer informatie te bekijken dan strikt nodig is om het probleem aan te tonen, of om informatie aan te passen of te verwijderen.
Deel de kwetsbaarheid niet
met anderen totdat deze is opgelost. Verwijder alle verkregen informatie zodra de kwetsbaarheid is verholpen.
Voer geen handelingen uit
die de beschikbaarheid van systemen kunnen verstoren (zoals DDoS-aanvallen).
Wat u van ons kunt verwachten
- U ontvangt binnen 3 werkdagen een bevestiging van uw melding en een eerste indicatie van hoe we de kwetsbaarheid gaan aanpakken.
- Wij zullen geen aangifte doen bij de politie als u de kwetsbaarheid netjes meldt en volgens dit beleid handelt.
- Uw melding wordt strikt vertrouwelijk behandeld. Uw persoonlijke gegevens worden niet met derden gedeeld, tenzij dit wettelijk verplicht is of u hiervoor toestemming heeft gegeven.
- Wij houden u op de hoogte van de voortgang bij het oplossen van de kwetsbaarheid.
Belangrijk
Ons beleid is géén uitnodiging om onze systemen uitgebreid te scannen of kwetsbaarheden te onderzoeken. Tijdens het onderzoek kunt u handelingen uitvoeren die wettelijk niet zijn toegestaan. Hoewel wij geen aangifte doen als u netjes meldt, sluit dit niet uit dat strafrechtelijk onderzoek of vervolging mogelijk is.
Wij danken u voor uw bijdrage aan de veiligheid van onze systemen!
Notitie
Coordinated Vulnerability Disclosure (CVD) is een proces waarbij beveiligingsonderzoekers en organisaties samenwerken om kwetsbaarheden in systemen op een verantwoorde manier te melden en op te lossen. Dit helpt om de risico’s van misbruik te minimaliseren en de beveiliging te verbeteren.