Responsible disclosure

Kwetsbaarheden in de ICT systemen van PGGM

PGGM vindt de beveiliging van haar systemen belangrijk. Ondanks alle aandacht voor de beveiliging van de systemen kan het voorkomen dat er een zwakke plek over het hoofd wordt gezien. Als u een zwakke plek in een systeem van PGGM hebt gevonden, hoort PGGM dit graag van u, zodat zo snel mogelijk de benodigde maatregelen kunnen worden getroffen. Met het oog hierop voert PGGM onderstaand beleid inzake de omgang met meldingen van geconstateerde kwetsbaarheden in de ICT-systemen van PGGM. Hieraan mag u PGGM houden wanneer u een zwakke plek aantreft in een van de systemen en dit meldt. Wij willen graag met u samenwerken om de gegevens in onze systemen beter te kunnen beschermen.

PGGM verwacht het onderstaande van u:

  • Stuur de melding zo snel mogelijk na ontdekking van de kwetsbaarheid naar responsibledisclosure@pggm.nl.
  • De melding moet informatie bevatten op basis waarvan PGGM het probleem kan reproduceren. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Laat minimaal een e-mailadres of telefoonnummer achter om zo samen te kunnen werken aan een veilig resultaat.
  • Deel de informatie over de kwetsbaarheid niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Doe in ieder geval niet:

  • Het verspreiden van malware;
  • Het kopiëren, wijzigen of verwijderen van gegevens in het systeem (een alternatief hiervoor is het maken van een directory listing van een systeem);
  • Het aanbrengen van veranderingen in het systeem;
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;
  • Het gebruik maken van het zogeheten ‘brute-forcen’ van toegang tot systemen;
  • Het gebruik maken van (distributed) denial-of-service of social engineering.

Dit kan u verwachten van PGGM:

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van PGGM aan bovenstaande voorwaarden voldoet, zal PGGM geen juridische stappen ondernemen tegen u.
  • PGGM behandelt een melding vertrouwelijk en deelt persoonlijke gegevens, niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • PGGM stuurt u binnen 1 werkdag een ontvangstbevestiging.
  • PGGM reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing (indien dan bekend).
PGGM houdt u op de hoogte van de voortgang van het oplossen van het probleem.