Divulgation coordonnée des vulnérabilités

Gemeente Heerlen attache une grande importance à la sécurité de ses systèmes. Malgré toutes les précautions prises, il est toujours possible qu'un point faible soit découvert dans les systèmes. Si vous découvrez une faille dans l'un de nos systèmes, nous aimerions que vous nous en fassiez part afin que nous puissions prendre rapidement les mesures qui s'imposent. En faisant un rapport, vous acceptez, en tant que rapporteur, les accords ci-dessous sur la divulgation coordonnée des vulnérabilités et la municipalité de Heerlen traitera votre rapport conformément aux accords ci-dessous.

À quoi s'attendre ?

  • Nous traitons un rapport de manière confidentielle et ne partageons pas les données personnelles d'un rapporteur avec des tiers sans son consentement, sauf si nous sommes tenus de le faire en vertu de la loi ou d'une décision de justice.
  • Nous partageons toujours le rapport reçu avec le Service de sécurité de l'information pour les municipalités (IBD). De cette manière, nous nous assurons que les municipalités partagent leurs expériences dans ce domaine.
  • D'un commun accord, si vous le souhaitez, nous pouvons mentionner votre nom en tant que découvreur de la vulnérabilité signalée. Dans tous les autres cas, vous resterez anonyme.
  • Nous vous enverrons un accusé de réception (automatique) dans un délai d'un jour ouvrable.
  • Nous répondons à un rapport dans un délai de 3 jours ouvrables, avec une évaluation (initiale) du rapport et éventuellement une date prévue pour la résolution.
  • Nous résoudrons le problème de sécurité que vous avez signalé dès que possible. Ce faisant, nous nous efforçons de vous tenir informé de l'évolution de la situation et ne prenons jamais plus de 30 jours pour résoudre le problème. Cependant, nous dépendons souvent en partie de nos fournisseurs.
  • Il est possible de convenir d'un commun accord de l'opportunité et de la manière de publier sur le problème une fois qu'il est résolu.

Nous vous demandons ce qui suit :

  • Envoyez vos résultats par e-mail à informatiebeveiliging@heerlen.nl. Si possible, cryptez les résultats avec cryptshare via l' environnement sécurisé de Parkstad-IT afin d'éviter que les informations ne tombent entre de mauvaises mains.
  • Veuillez fournir suffisamment d'informations pour reproduire le problème afin que nous puissions le résoudre le plus rapidement possible. En général, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffisent, mais d'autres informations peuvent être nécessaires pour des vulnérabilités plus complexes.
  • Nous acceptons volontiers les conseils qui nous aident à résoudre le problème. Toutefois, veuillez limiter vos conseils à des faits vérifiables liés à la vulnérabilité que vous avez identifiée et évitez que vos conseils ne reviennent à faire de la publicité pour des produits (de sécurité) spécifiques.
  • Laissez-nous vos coordonnées afin que nous puissions vous contacter pour travailler ensemble à un résultat sûr. Veuillez indiquer au moins une adresse électronique ou un numéro de téléphone.
  • Veuillez soumettre le rapport dès que possible après avoir découvert la vulnérabilité.