Yellowtail Conclusion is onderdeel van het Conclusion ecosysteem

Yellowtail Conclusion

Responsible Disclosure

Yellowtail Conclusion heeft, als dienstverlener voor financiële instellingen, de privacy en veiligheid van haar klanten hoog in het vaandel staan. Wij dragen zorg dat alle persoonsgegevens die via onze systemen worden verwerkt in veilige handen zijn. Hiertoe voeren wij regelmatig testen uit en scannen wij actief onze applicaties en infrastructuur op eventuele kwetsbaarheden.

Het is echter niet uit te sluiten dat er een zwakke plek in één van onze systemen te vinden is. Mocht je deze hebben gevonden, dan vragen wij je vriendelijk om deze met ons te delen, zodat wij zo snel mogelijk de juiste acties kunnen ondernemen.

Hoe kun je deze kwetsbaarheden melden?

Je kunt kwetsbaarheden melden door een e-mail te sturen naar cvd@yellowtail.nl.

Wij vragen je hierbij het volgende in acht te nemen:

  • Beschrijf de kwetsbaarheid, het reproductiepad, de URL/het IP-adres, en de gevolgen zo volledig mogelijk. Het aanbieden van een oplossing moedigen wij aan.

  • Misbruik de kwetsbaarheid niet, door bijvoorbeeld meer data op te halen dan strikt nodig om het probleem aan te tonen.

  • Deel de kwetsbaarheid niet met anderen totdat het probleem is opgelost.

  • Wanneer je melding hebt gehad dat de kwetsbaarheid is opgelost, verwijder dan alstublieft de verkregen gegevens bij het vinden van de kwetsbaarheid uit de systemen waar je deze opgeslagen heeft.

  • Breng geen systeemveranderingen aan (zoals back doors).

  • Kwetsbaarheden als resultaat van social engineering, fysieke aanvallen, DDoS, brute forcing, spam, malware of applicaties van derden beschouwen wij als buiten de reikwijdte van dit beleid.

Het melden onder een pseudoniem, indien gewenst, is mogelijk.

Hoe wordt de melding binnen Yellowtail Conclusion opgepakt?

Wij doen een intake van de kwetsbaarheid om de ernst en reikwijdte van het probleem te beoordelen. Hierna worden door onze Security Officer, Service Manager en de beheer- en ontwikkelteams mitigerende maatregelen bepaald en geïmplementeerd die toepasselijk zijn voor de ernst en reikwijdte.

Wat beloven wij richting jou?

  • Jouw melding wordt binnen 5 werkdagen beoordeeld.

  • Wij beloven geen juridische stappen richting je te ondernemen als gevolg van deze melding, mits je aan de voorwaarden beschreven onder ‘Hoe kun je deze kwetsbaarheden melden’ heeft voldaan.

  • Jouw melding wordt vertrouwelijk behandeld. Wij delen jouw persoonlijke gegevens niet met derden, tenzij gevorderd door daartoe bevoegde autoriteiten.

  • Je wordt op de hoogte gehouden van het verloop van de oplossing van de kwetsbaarheid.

  • Indien gewenst kunnen wij je vermelden als blootlegger van de kwetsbaarheid, mocht hierover worden gepubliceerd.

  • Indien jouw melding heeft geleid tot het succesvol dichten van een kwetsbaarheid van het systeem, belonen wij je graag met een waardebon van € 50,-.

Waar kunnen we je mee helpen