Responsible Disclosure

Bij Nederlandse Loterij vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een lek of zwakke plek is. Als je een lek of zwakke plek vindt in één van onze systemen of de daarbij behorende of onderliggende domeinen en/of specifieke domeinen van derden en/of partners, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen.

Informatie over een lek of zwakke plek (kwetsbaarheid) kun je zo spoedig mogelijk na ontdekking mailen naar responsibledisclosure@nederlandseloterij.nl. Versleutel je bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.
De PGP key vind je op: PGP KEY NLO

Vermeld in je bericht voldoende informatie om de kwetsbaarheid op te sporen en jouw handelingen te reproduceren, zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Wij verzoeken je bij je melding je naam, e-mailadres en telefoonnummer te vermelden. Je kunt ook onder een pseudoniem melding doen.

Omdat wij het op prijs stellen dat je meedenkt met ons, bieden wij als dank voor je hulp een beloning aan. Voorwaarde daarbij is dat je je aan alle spelregels uit deze policy houdt, wij je identiteit kunnen verifiëren en wij de kwetsbaarheid dankzij jouw melding hebben verholpen. Het spreekt daarbij voor zich dat de door jouw gemelde kwetsbaarheid niet (mede) door jou mag zijn veroorzaakt. De beloning wordt vastgesteld op basis van de kwaliteit van de melding en de ernst van de kwetsbaarheid.

De spelregels

• De kwetsbaarheden zien op systemen die samenhangen met www.nederlandseloterij.nl (www.nederlandseloterij.nl, www.staatsloterij.nl, www.miljoenenspel.nl, www.lotto.nl, www.eurojackpot.nl, www.toto.nl, www.luckyday.nl, www.krasloten.nl).
• Je mag de kwetsbaarheden niet verder gebruiken dan noodzakelijk. Dit betekent onder andere dat je geen veranderingen in de systemen of de beveiliging aanbrengt, geen (persoons)gegevens, waartoe je niet gerechtigd bent, aanpast, verwijdert, downloadt, verspreidt of kopieert, geen toegang verschaft aan derden, geen backdoor plaatst en geen spam verstuurt via onze sytemen.
• Alle gegevens die zijn verkregen in het kader van het ontdekken van de kwetsbaarheid moet je direct na het melden, wissen.
• Je mag geen gebruik maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, brute force, of applicaties van derden.
• Het vaststellen van kwetsbaarheden mag nooit leiden tot schade aan Nederlandse Loterij, waaronder reputatieschade en verstoring van onze dienstverlening.
• Wanneer je kwetsbaarheden vindt en deze bij ons meldt, kan het zijn dat je, ook als je je aan deze spelregels houdt, handelingen verricht die strafbaar of anderszins onrechtmatig zijn. Handel je integer, volg je onze spelregels en meld je de kwetsbaarheid direct aan ons, dan zullen wij geen juridische stappen ondernemen.
• Wij zijn evenwel niet verantwoordelijk voor je handelingen en kunnen niet uitsluiten dat dit als strafbaar gedrag of anderszins in strijd met enige regel of verplichting wordt aangemerkt.

Wij streven ernaar om binnen 3 werkdagen op je melding te reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing, indien wij je die op dat moment kunnen geven. Wij behandelen je melding vertrouwelijk en zullen je persoonsgegevens niet zonder je ondubbelzinnige en expliciete toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Wij zullen jouw persoonsgegevens ook niet langer bewaren dan noodzakelijk is voor het oplossen van de kwetsbaarheid, met inachtneming van geldende privacywetgeving. Voor zover dit passend en mogelijk is, houden wij je op de hoogte van de voortgang van het oplossen van het probleem.