ISMS Copilot
Beveiliging

Beveiligingskwetsbaarheden rapporteren

Als u een beveiligingskwetsbaarheid ontdekt in ISMS Copilot, willen we dat graag van u horen. In dit artikel wordt uitgelegd wat als een beveiligingsprobleem wordt beschouwd, hoe u dit op verantwoorde wijze kunt rapporteren en wat u kunt verwachten tijdens ons oplossingsproces.

Maak kwetsbaarheden niet openbaar voordat we de kans hebben gehad om ze te onderzoeken en te herstellen. Openbaarmaking brengt alle gebruikers van ISMS Copilot in gevaar.

Wat als een beveiligingskwetsbaarheid wordt beschouwd

Rapporteer problemen die het volgende in gevaar kunnen brengen:

  • Vertrouwelijkheid van gegevens: Ongeautoriseerde toegang tot gebruikersgegevens, werkruimten, gesprekken of geüploade documenten

  • Authenticatie en toegangsbeheer: Het omzeilen van login, sessie-overname (hijacking), privilege-escalatie of toegang tot de accounts van andere gebruikers

  • Data-integriteit: Ongeautoriseerde wijziging of verwijdering van gebruikersgegevens of systeemconfiguraties

  • Applicatiebeveiliging: SQL-injectie, cross-site scripting (XSS), cross-site request forgery (CSRF) of vergelijkbare injectie-aanvallen

  • Infrastructuurbeveiliging: Verkeerde serverconfiguraties, blootgestelde inloggegevens of onveilige API-eindpunten

  • Versleutelingsfouten: Zwakke of verbroken versleuteling, onveilige gegevensoverdracht of blootgestelde cryptografische sleutels

Wat niet in aanmerking komt

Het volgende wordt niet beschouwd als beveiligingskwetsbaarheden:

  • Functieverzoeken of algemene bugrapporten (gebruik hiervoor ons standaard ondersteuningskanaal)

  • Problemen die fysieke toegang tot het apparaat van een gebruiker vereisen

  • Social engineering-aanvallen gericht op eindgebruikers

  • Denial-of-Service (DoS)-aanvallen zonder aantoonbare impact

  • Spam of het omzeilen van rate-limiting voor legitieme functies

  • Kwetsbaarheden in diensten van derden waarover wij geen controle hebben (rapporteer deze rechtstreeks aan de aanbieder)

Als u niet zeker weet of een probleem als een beveiligingskwetsbaarheid telt, rapporteer het dan toch. We beoordelen liever een vals alarm dan dat we een echte kwetsbaarheid missen.

Ondersteunde versies

ISMS Copilot werkt als een Software-as-a-Service (SaaS) platform met continue implementatie. Alle gebruikers werken automatisch op de nieuwste productieversie — er zijn geen oudere versies om te onderhouden.

Beveiligingskwetsbaarheden moeten worden gemeld voor:

Hoe een kwetsbaarheid te rapporteren

Volg deze stappen om een verantwoorde openbaarmaking (responsible disclosure) in te dienen:

  1. Neem onmiddellijk contact op met de ISMS Copilot ondersteuning via het Helpcentrum op https://help.ismscopilot.com of stuur een e-mail naar [email protected]

  2. Voeg gedetailleerde informatie toe:

    • Beschrijving van de kwetsbaarheid en de mogelijke impact ervan

    • Stapsgewijze instructies voor reproductie

    • Betrokken URL's, eindpunten of functies

    • Screenshots, video's of proof-of-concept code (indien van toepassing)

    • Uw inschatting van de ernst (laag, gemiddeld, hoog, kritiek)

  3. Misbruik de kwetsbaarheid niet verder dan nodig is om het probleem aan te tonen

  4. Bekijk, wijzig of verwijder geen gegevens van andere gebruikers tijdens uw tests

  5. Houd het probleem vertrouwelijk totdat we hebben bevestigd dat er een oplossing is doorgevoerd

Hoe meer details u verstrekt, hoe sneller we het probleem kunnen valideren en herstellen. Duidelijke reproductiestappen zijn bijzonder waardevol.

Tijdlijn voor reactie en oplossing

Wanneer u een kwetsbaarheid rapporteert, gebeurt het volgende:

  1. Eerste ontvangstbevestiging: We bevestigen de ontvangst van uw rapport binnen 24 uur

  2. Beoordeling: Ons beveiligingsteam evalueert het probleem binnen 24 uur om de ernst en impact te bepalen

  3. Onderzoek: We onderzoeken de bronoorzaak en ontwikkelen een oplossing. De tijdlijn hangt af van de complexiteit:

    • Kritieke kwetsbaarheden: Oplossing binnen 48-72 uur

    • Problemen met hoge ernst: Oplossing binnen 7 dagen

    • Problemen met gemiddelde/lage ernst: Oplossing binnen 30 dagen

  4. Melding: Als de kwetsbaarheid gevolgen heeft voor gebruikersgegevens, stellen we de getroffen gebruikers binnen 72 uur op de hoogte (vereiste volgens AVG/GDPR Artikel 33)

  5. Bevestiging van oplossing: We laten u weten wanneer de oplossing is doorgevoerd en bevestigen of het veilig is om dit openbaar te maken (mocht u dat wensen)

Wij waarderen verantwoorde openbaarmaking. Zodra het probleem is opgelost, vermelden we u graag publiekelijk als bron (met uw toestemming) of we houden uw bijdrage anoniem als u dat verkiest.

Wat u niet moet doen

Vermijd het volgende om alle gebruikers te beschermen:

  • Openbaarmaking: Plaats geen kwetsbaarheden op sociale media, forums of openbare bugtrackers voordat we ze hebben opgelost

  • Overmatig testen: Voer geen geautomatiseerde scans of penetratietests uit die de dienstverlening voor andere gebruikers kunnen verstoren

  • Gegevensexfiltratie: Download, bewaar of deel geen gegevens van andere gebruikers — zelfs niet om aan te tonen dat een kwetsbaarheid bestaat

  • Afpersing of bedreigingen: Beveiligingsonderzoek moet te goeder trouw worden uitgevoerd om het platform te verbeteren, niet als pressiemiddel

Bug bounty-programma

ISMS Copilot heeft momenteel geen formeel bug bounty-programma met financiële beloningen. We waarderen beveiligingsonderzoekers die kwetsbaarheden verantwoord rapporteren enorm en zullen uw bijdrage publiekelijk erkennen (met toestemming) wanneer problemen zijn opgelost.

In specifieke gevallen kunnen we erkenning, gadgets (swag) of servicetegoeden aanbieden voor bijzonder impactvolle bevindingen.

Gerelateerde bronnen

Vragen?

Als u niet zeker weet of iets als een beveiligingskwetsbaarheid telt of als u verduidelijking nodig heeft over ons proces, neem dan contact met ons op via [email protected]. We zijn er om te helpen ISMS Copilot veiliger te maken.

Was dit nuttig?