NCOI logo
Opleidingen

Opleidingen per niveau

Master
Post Bachelor
HBO
Associate Degree
MHBO
MBO
Beroeps- en vakopleidingen
Trainingen

Opleidingen per vakgebied

Artificial Intelligence (AI)
Bedrijfskunde
Bouw, Architectuur en Vastgoed
Communicatie
Facilitair
Financieel
Gezondheid en Welzijn
HR
IT
Juridisch
Management en Leidinggeven
Marketing en Sales
Onderwijs en Pedagogiek
Overheid en Maatschappij
Persoonlijke effectiviteit
Projectmanagement en Procesmanagement
Psychologie en Coaching
Supply Chain
Techniek
Veiligheid
Zorg en Paramedisch
NCOI logo
Navigation icon
Opleidingen
Opleidingen per niveau
Master
Post Bachelor
HBO
Associate Degree
MHBO
MBO
Beroeps- en vakopleidingen
Trainingen
Opleidingen per vakgebied
Artificial Intelligence (AI)
Bedrijfskunde
Bouw, Architectuur en Vastgoed
Communicatie
Facilitair
Financieel
Gezondheid en Welzijn
HR
IT
Juridisch
Management en Leidinggeven
Marketing en Sales
Onderwijs en Pedagogiek
Overheid en Maatschappij
Persoonlijke effectiviteit
Projectmanagement en Procesmanagement
Psychologie en Coaching
Supply Chain
Techniek
Veiligheid
Zorg en Paramedisch
Navigation icon
Voorlichting
Navigation icon
Zakelijk
Navigation icon
Contact
Neem telefonisch contact op met NCOI 035 - 6 400 411
Econnect icon e-Connect

Coordinated Responsible Disclosure

Nederlands
Samenwerking

Als u een zwakte heeft gevonden, horen we dat graag, zodat we zo snel mogelijk passende maatregelen kunnen nemen.  

Geen uitnodiging om actief te scannen

Onze Responsible Disclosure Policy is geen uitnodiging om ons netwerk of onze systemen actief te scannen op zwakke punten. Wij monitoren zelf ons bedrijfsnetwerk. Gemelde kwetsbaarheden zullen we mogelijk ook al zelf ontdekken. Bij het melden van deze kwetsbaarheden, zal ons Emergency Response Team deze onderzoeken en dat kan mogelijk tot onnodige kosten leiden. 

Gerechtelijke vervolging 

Tijdens uw onderzoek kan het zijn dat u acties onderneemt die bij wet verboden zijn. Als u zich houdt aan de voorwaarden in deze overeenkomst, zullen wij geen juridische stappen tegen u ondernemen. De officier van justitie heeft echter altijd het recht om te beslissen of hij u al dan niet vervolgt. 

Ons verzoek aan jou

Mail je bevindingen zo snel mogelijk naar securityenprivacy@saltagroup.com. Versleutel de bevindingen om te voorkomen dat de informatie in verkeerde handen valt. 

Maak geen misbruik van de gevonden kwetsbaarheid, bijvoorbeeld: 

  • Meer gegevens downloaden dan nodig 
  • wijzigen of verwijderen van gegevens 
  • Wees extra voorzichtig met persoonsgegevens 
  • Deel het beveiligingslek niet met anderen totdat het is opgelost 
  • Test niet de fysieke beveiliging of applicatie van derden, social engineering technieken (gedistribueerde) denial-of-service, malware of spam. 
  • Beschrijf het gevonden probleem zo expliciet en gedetailleerd mogelijk en verstrek al het bewijsmateriaal dat u mogelijk heeft. U kunt er zeker van zijn dat uw meldingen door specialisten worden opgepakt. 
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen. 

Wat we beloven 

We zullen binnen 5 werkdagen op uw melding reageren met onze evaluatie van het rapport en een verwachte oplossingsdatum. 

Wij houden uw melding anoniem en geven uw persoonsgegevens niet door aan derden zonder uw toestemming, tenzij de wet ons verplicht om uw persoonsgegevens te verstrekken. 

Wij houden u op de hoogte van de voortgang bij het oplossen van het probleem. 

U kunt anoniem of onder een pseudoniem melden. In dit geval kunnen we echter geen contact met u opnemen voor zaken als vervolgstappen, voortgang bij het oplossen van het probleem, publicatie of een beloning voor rapportage. 

Als u wilt, vermelden we uw naam als de ontdekker van de vulnerability in het zwakterapport. 

We kunnen u een beloning geven voor uw onderzoek, maar zijn niet verplicht om dit te doen. U heeft dus niet automatisch recht op een vergoeding. De vorm van deze beloning staat niet vooraf vast en wordt door ons per geval bepaald. Of je een beloning geeft en in welke vorm hangt af van de zorgvuldigheid in je onderzoek, de kwaliteit van de melding en de ernst van het lek. 

We streven ernaar om alle problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden. We zullen blij zijn om betrokken te zijn bij elke publicatie over de zwakte nadat deze is opgelost. 

Out of scope

Salta Group beloont geen triviale kwetsbaarheden of bugs die niet kunnen worden misbruikt. Hieronder volgen voorbeelden van bekende en geaccepteerde kwetsbaarheden en risico’s die buiten het toepassingsgebied van het responsible disclosure-beleid vallen: 

  • HTTP 404 codes/pages or other HTTP non-200 codes/pages and Content Spoofing/Text Injection on these pages. 
  • fingerprint version banner disclosure on common/public services. 
  • disclosure of known public files or directories or non-sensitive information, (e.g. robots.txt). 
  • clickjacking and issues only exploitable through clickjacking. 
  • lack of Secure/HTTPOnly flags on non-sensitive Cookies. 
  • OPTIONS HTTP method enabled. 
  • anything related to HTTP security headers, e.g.: 
  • Strict-Transport-Security. 
  • X-Frame-Options. 
  • X-XSS-Protection. 
  • X-Content-Type-Options. 
  • Content-Security-Policy. 
  • SSL Configuration Issues: 
  • SSL forward secrecy not enabled. 
  • weak / insecure cipher suites. 
  • SPF, DKIM, DMARC issues. 
  • host header injection. 
  • reporting older versions of any software without proof of concept or working exploit. 
  • information leakage in metadata. 

English
Collaboration

If you have found a weakness, we would like to hear about it so that we can take appropriate measures as quickly as possible.  

Not an invitation to actively scan

Our so-called Responsible Disclosure Policy is not an invitation to actively scan our network or our systems for weaknesses. We monitor our company network. Therefore, we are likely to pick up your scan, which our Emergency Response Team will investigate, and which will possibly lead to unnecessary costs. 

Judicial prosecution

During your investigation it could be possible that you take actions that are prohibited by law. If you follow the conditions given in this agreement, we will not take legal action against you. However, the Public Prosecutor always has the right to decide whether or not to prosecute you. 

Request to you

Please mail your findings as soon as possible to securityenprivacy@saltagroup.com. Encrypt your findings to prevent the information from falling into the wrong hands.

Do not abuse the found vulnerability, for example: 

  • downloading more data than necessary 
  • changing or removing data 
  • Be extra cautious with personal data 
  • Do not share the vulnerability with others until it is resolved 
  • Do not test the physical security or third-party application, social engineering techniques (distributed) denial-of-service, malware, or spam. 
  • Describe the issue found as explicitly and in detail as possible, and provide any evidence you might have. Be assured that your notifications will be received by specialists. 
  • Do provide sufficient information to reproduce the problem so that we can resolve it as quickly as possible. Usually, the IP address or the URL of the affected system and a description of the vulnerability is sufficient, but complex vulnerabilities may require further explanation.  

What we promise 

We will respond to your report within 5 business days with our evaluation of the report and an expected resolution date. 

We will keep your report anonymous and will not pass on your personal details to third parties without your permission, unless the law requires us to provide your personal information.

We will keep you informed of the progress towards resolving the problem. 

You can report anonymously or under a pseudonym. In this case, however, we will not be able to contact you for things such as follow-up steps, progress of resolving the issue, publication or any reward for reporting. 

If you wish, we will mention your name as a vulnerability discoverer in the weakness report. 

We may give you a reward for your research but are not obliged to do so. You are, therefore, not automatically entitled to a reimbursement. The form of this reward is not fixed in advance and is determined by us on a case-by-case basis. Whether to give a reward and in which form depends on the care taken in your investigation, the quality of the report and the seriousness of the leak. 

We strive to solve all problems as quickly as possible and keep all parties involved informed. We will be glad to be involved in any publication about the weakness after it has been resolved. 

Out of scope 

Salta Group does not reward trivial vulnerabilities or bugs that cannot be abused. The following are examples of known and accepted vulnerabilities and risks that are outside the scope of the responsible disclosure policy: 

  • HTTP 404 codes/pages or other HTTP non-200 codes/pages and Content Spoofing/Text Injection on these pages. 
  • fingerprint version banner disclosure on common/public services. 
  • disclosure of known public files or directories or non-sensitive information, (e.g. robots.txt). 
  • clickjacking and issues only exploitable through clickjacking. 
  • lack of Secure/HTTPOnly flags on non-sensitive Cookies. 
  • OPTIONS HTTP method enabled. 
  • anything related to HTTP security headers, e.g.: 
  • Strict-Transport-Security. 
  • X-Frame-Options. 
  • X-XSS-Protection. 
  • X-Content-Type-Options. 
  • Content-Security-Policy. 
  • SSL Configuration Issues: 
  • SSL forward secrecy not enabled. 
  • weak / insecure cipher suites. 
  • SPF, DKIM, DMARC issues. 
  • host header injection. 
  • reporting older versions of any software without proof of concept or working exploit. 
  • information leakage in metadata.
De grootste opleider van werkend Nederland
NCOI - wij leiden meer dan 20.000 professionals per jaar op
Ieder jaar leiden we
20.000
professionals op
NCOI - meer dan 1.250 opleidingen en trainingen
Kies uit meer dan
1.250
verschillende opleidingen en trainingen
NCOI - meer dan 2.000 bevlogen docenten
Volg les bij een van onze
2.000+
bevlogen docenten
Opleidingsadvies op maat?
Onze deskundige opleidingsadviseurs zijn telefonisch bereikbaar van maandag t/m vrijdag van 08.00 tot 17.00 en via WhatsApp op werkdagen tussen 10.00 en 16.00 uur.
 

Of meld je aan voor het Inloopspreekuur voor HBO Bachelor- en Masteropleidingen.
Volg ons!
Wil je niets missen? Meld je dan nu aan voor onze nieuwsbrief of volg ons op social media!
Aanmelden nieuwsbrief