Responsible Disclosure

De Responsible Disclosure Policy is gepubliceerd op 31 mei 2019

Bij Nederlandse Loterij vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een lek of zwakke plek is. Als je een lek of zwakke plek vindt in één van onze systemen of de daarbij behorende of onderliggende domeinen en/of specifieke domeinen van derden en/of partners, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze klanten/deelnemers en onze systemen beter te kunnen beschermen. Deze Responsible Disclosure Policy beschrijft wat wij van je vragen en hoe wij zullen reageren op uw meldingen.

Wij raden je aan deze Responsible Disclosure Policy regelmatig te raadplegen omdat wij het van tijd tot tijd kunnen aanpassen.

Hoe doe je een melding?

Informatie over een lek of zwakke plek (kwetsbaarheid) kun je zo spoedig mogelijk na ontdekking mailen naar digital@nederlandseloterij.nl. Versleutel je bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.
De PGP key vind je op: PGP KEY NLO

Vermeld in je bericht voldoende informatie om de kwetsbaarheid op te sporen en jouw handelingen te reproduceren, zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Wij verzoeken je bij je melding je naam, e-mailadres en telefoonnummer te vermelden. Je kunt ook onder een pseudoniem melding doen.

Beloning

Omdat wij het op prijs stellen dat je meedenkt met ons, bieden wij als dank voor je hulp een beloning aan. Voorwaarde daarbij is dat je je aan alle spelregels uit deze policy houdt, wij je identiteit kunnen verifiëren en wij de kwetsbaarheid dankzij jouw melding hebben verholpen. Het spreekt daarbij voor zich dat de door jouw gemelde kwetsbaarheid niet (mede) door jou mag zijn veroorzaakt. De beloning wordt vastgesteld op basis van de kwaliteit van de melding en de ernst van de kwetsbaarheid.

De spelregels

  • De kwetsbaarheden zien op systemen die samenhangen met www.nederlandseloterij.nl (www.nederlandseloterij.nl, www.staatsloterij.nl, www.miljoenenspel.nl, www.lotto.nl, www.eurojackpot.nl, www.toto.nl, www.luckyday.nl, www.krasloten.nl).
  • Je mag de kwetsbaarheden niet verder gebruiken dan noodzakelijk. Dit betekent onder andere dat je geen veranderingen in de systemen of de beveiliging aanbrengt, geen (persoons)gegevens, waartoe je niet gerechtigd bent, aanpast, verwijdert, downloadt, verspreidt of kopieert, geen toegang verschaft aan derden, geen backdoor plaatst en geen spam verstuurt via onze sytemen.
  • Alle gegevens die zijn verkregen in het kader van het ontdekken van de kwetsbaarheid moet je direct na het melden, wissen.
  • Je mag geen gebruik maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, brute force, of applicaties van derden.
  • Het vaststellen van kwetsbaarheden mag nooit leiden tot schade aan Nederlandse Loterij, waaronder reputatieschade en verstoring van onze dienstverlening.
  • Wanneer je kwetsbaarheden vindt en deze bij ons meldt, kan het zijn dat je, ook als je je aan deze spelregels houdt, handelingen verricht die strafbaar of anderszins onrechtmatig zijn. Handel je integer, volg je onze spelregels en meld je de kwetsbaarheid direct aan ons, dan zullen wij geen juridische stappen ondernemen.
  • Wij zijn evenwel niet verantwoordelijk voor je handelingen en kunnen niet uitsluiten dat dit als strafbaar gedrag of anderszins in strijd met enige regel of verplichting wordt aangemerkt.

Wat doet Nederlandse Loterij met een melding?

Wij streven ernaar om binnen 3 werkdagen op je melding te reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing, indien wij je die op dat moment kunnen geven. Wij behandelen je melding vertrouwelijk en zullen je persoonsgegevens niet zonder je ondubbelzinnige en expliciete toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Wij zullen jouw persoonsgegevens ook niet langer bewaren dan noodzakelijk is voor het oplossen van de kwetsbaarheid, met inachtneming van geldende privacywetgeving. Voor zover dit passend en mogelijk is, houden wij je op de hoogte van de voortgang van het oplossen van het probleem.

Communicatie

Het kan voorkomen dat Nederlandse Loterij informatie over kwetsbaarheden naar buiten brengt of verplicht is deze informatie te melden bij een toezichthouder en/of de betrokkenen, waarop de gegevens betrekking hebben. Wanneer je dat wenst, zullen wij je naam of pseudoniem als ontdekker vermelden in de berichtgeving over de gemelde kwetsbaarheid. Je mag geen informatie over de kwetsbaarheid en onze eventuele oplossingen naar buiten brengen zonder dat Nederlandse Loterij daar haar uitdrukkelijke schriftelijke toestemming voor heeft gegeven.