Beveiligd
Beveiligde omgeving Nog vragen? 0800 - 022 99 99

Responsible Disclosure

De Responsible Disclosure Policy is gepubliceerd op 10 april 2017.

Bij de Staatsloterij vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een lek of zwakke plek is.

Als u een lek of zwakke plek vindt in één van onze systemen (samenhangend met www.staatsloterij.nl) of de daarbij behorende of onderliggende domeinen en/of specifieke domeinen van derden en/of partners, horen wij dit graag zodat we zo snel mogelijk zodat we maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten/deelnemers en onze systemen beter te kunnen beschermen. Deze Responsible Disclosure Policy beschrijft wat wij van u vragen en hoe wij zullen reageren op uw meldingen.

Wij kunnen deze Responsible Disclosure Policy van tijd tot tijd aanpassen. Wij raden u aan deze Responsible Disclosure Policy regelmatig te raadplegen.

Hoe doet u een melding?

Informatie over een lek of zwakke plek (kwetsbaarheid) kunt u zo spoedig mogelijk na ontdekking mailen naar digital@nederlandseloterij.nl. Versleutel uw bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt. De PGP key (geldig t/m 14-04-2018) kunt u hier downloaden: PGP KEY NLO.

Vermeld in uw bericht voldoende informatie om de kwetsbaarheid op te sporen en uw handelingen te reproduceren zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Wij verzoeken u bij uw melding uw naam, e-mailadres en telefoonnummer te vermelden. Dit hoeft echter niet. U kunt ook onder een pseudoniem melden.

Wat zijn de spelregels?

Omdat wij het op prijs stellen dat u meedenkt met ons, bieden wij als dank voor uw hulp een beloning aan voor elke melding van een ons nog onbekende kwetsbaarheid. Voorwaarde daarbij is dat u zich aan alle spelregels uit deze policy houdt en wij de kwetsbaarheid door uw melding hebben verholpen. Het spreekt daarbij verder voor zich dat de door u gemelde kwetsbaarheid niet (mede) door u mag zijn veroorzaakt. De beloning is in de vorm van (een) Staatslot(en). De grootte van de beloning bepalen wij mede aan de hand van de ernst van de kwetsbaarheid, de snelheid van het melden en de kwaliteit van de melding. Staatsloten kunnen slechts worden uitgegeven aan personen die woonachtig zijn in Nederland, dit wordt gecontroleerd aan de hand van het bankrekeningnummer.

Wij hanteren de volgende spelregels:

De kwetsbaarheden zien op (systemen die samenhangen met) www.staatsloterij.nl/akkoord. U mag de kwetsbaarheden niet verder gebruiken dan noodzakelijk. Dit betekent onder andere dat u geen veranderingen in het systeem of de beveiliging aanbrengt, geen (persoons)gegevens, waartoe u niet gerechtigd bent, aanpast, verwijdert, downloadt, verspreidt of kopieert, geen toegang verschaft aan derden, geen eigen backdoor plaatst en geen spam verstuurt via ons systeem. Alle gegevens die zijn verkregen in het kader van het ontdekken van de kwetsbaarheid moet u direct na het melden, wissen. U mag geen gebruik maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, brute force, of applicaties van derden. Het vaststellen van kwetsbaarheden mag nooit leiden tot schade aan de Staatsloterij, waaronder reputatieschade, en verstoring van onze dienstverlening. Wanneer u kwetsbaarheden vindt en deze bij ons meldt, kan het zijn dat u, ook als u zich aan deze spelregels heeft gehouden, handelingen verricht die strafbaar of anderszins onrechtmatig zijn. Handelt u integer, volgt u onze spelregels en meldt u de kwetsbaarheid direct aan ons, dan zullen wij geen juridische stappen ondernemen. Wij zijn evenwel niet verantwoordelijk voor uw handelingen, en kunnen niet uitsluiten dat dit als strafbaar gedrag of anderszins in strijd met enige regel of verplichting wordt aangemerkt.

Wat doet de Staatsloterij met een melding?

Wij streven er naar om binnen 3 werkdagen op uw melding te reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing, indien wij u die op dat moment kunnen geven. Wij behandelen uw melding vertrouwelijk en zullen uw persoonsgegevens niet zonder uw ondubbelzinnige toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Wij zullen uw persoonsgegevens ook niet langer bewaren dan noodzakelijk is voor het oplossen van de kwetsbaarheid. Voor zover dit passend en mogelijk is, houden wij u op de hoogte van de voortgang van het oplossen van het probleem.

Communicatie

Het kan voorkomen dat de Staatsloterij informatie over kwetsbaarheden naar buiten brengt of verplicht is deze informatie te melden bij een toezichthouder en/of de betrokkenen, waarop de gegevens betrekking hebben. Wanneer u dat wenst, zullen wij uw naam of pseudoniem als ontdekker vermelden in de berichtgeving over de gemelde kwetsbaarheid.

U mag geen informatie over de kwetsbaarheid en onze eventuele oplossingen naar buiten brengen zonder dat de Staatsloterij daar haar uitdrukkelijke schriftelijke toestemming voor heeft gegeven.