Responsible Disclosure

Bij SCOL vinden wij het belangrijk dat onze leerlingen en medewerkers veilig kunnen leren en werken. Dat kan alleen wanneer onze systemen en ons netwerk veilig zijn. Ondanks het feit dat we voortdurend zorg besteden aan beveiliging kan het voorkomen dat er een kwetsbaarheid wordt ontdekt. Wanneer je een kwetsbaarheid in één van onze systemen vindt dan horen wij dit heel graag zodat we de kwetsbaarheid kunnen verhelpen.  

Wat wij van jou verwachten:

  1. Je misbruikt de kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
  2. Je maakt geen gebruik van social engineering, distributed denial of service, spam of applicaties van derden en je voert geen aanvallen uit op fysieke beveiliging.
  3. Je deelt je bevindingen door een e-mail te sturen naar security@scoleiden.nl. Bij voorkeur versleutel je jouw melding met onze publieke PGP key om te voorkomen dat de informatie in verkeerde handen valt.
  4. Je deelt voldoende informatie om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving of screenshot van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  5. Je deelt het probleem niet met anderen totdat het is opgelost.
  6. Je wist alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek.

Wat jij van ons mag verwachten: 

  1. We reageren binnen 5 werkdagen inhoudelijk op je melding, inclusief de verwachte oplossingstermijn. 
  2. We verhelpen de kwetsbaarheid zo snel mogelijk en houden je op de hoogte van de voortgang. 
  3. Wanneer je je houdt aan de bovenstaande verwachtingen dan zullen wij geen juridische stappen tegen je ondernemen met betrekking tot jouw melding. 
  4. We behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk. 
  5. We vinden het belangrijk om je de credits te geven die je toekomen – en die je wenst. We zullen je naam bij een publicatie over de kwetsbaarheid alleen vermelden als je daarmee instemt. 
  6. Als dank voor je hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding met in ieder geval een pak Leidsche koeken.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost. 

Hall of fame:

Sabarinath Panikken, reports: 1 (2023)

Parth Narula, reports: 1 (2024)

Bronvermelding:
Floor Terra, Responsible Disclosure, Bits of Freedom, Coordinated Vulnerability Disclosure, 2018, NCSC – Leidraad Coordinated Vulnerability Disclosure, Freedom Internet, Responsible disclosure beleid

Goed-leren

We werken elke dag aan meer dan gewoon goed onderwijs voor leerlingen van 4 t/m 18 jaar. Leren gaat altijd door en wordt gevoed door nieuwsgierigheid. Die nieuwsgierigheid willen we uitlokken en stimuleren.

Goed-leven

Op onze scholen gaan kennisontwikkeling en sociale en morele vorming hand in hand. Vertrouwen, solidariteit en verwondering zijn kernwaarden uit de Bijbelverhalen. Deze kernwaarden hebben een plek op al onze scholen.

Goed-samenleven

Leren en leven kun je niet alleen. Dat doe je samen met de mensen om je heen. Omgaan met elkaar, met de ander, je verbonden weten met het grotere geheel, met de natuur: het maakt elke dag deel uit van het onderwijs in onze scholen.