Nederlands

Coordinated Vulnerability Disclosure

Bij Rijk Zwaan Zaadteelt en Zaadhandel B.V. vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden, horen wij dit graag. We zullen dan zo snel mogelijk maatregelen treffen. We werken hierin graag met u samen.

 

Wij vragen u:

  • Uw bevindingen te mailen naar security@rijkzwaan.com. Wij vragen u om de e-mail versleuteld te versturen. Gebruik hiervoor de PGP-sleutel onderaan de pagina. 
  • Voldoende informatie te geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aan te passen.
  • Het probleem geheim te houden en niet met anderen te delen totdat het is opgelost.
  • Alle vertrouwelijke gegevens die zijn verkregen via het lek direct te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, (distributed) denial of service, of hacking tools, zoals vulnerability scanners.

Wat wij beloven:

  • Wij reageren zo spoedig mogelijk op uw melding met onze beoordeling van de melding en een verwachte termijn voor een oplossing.
  • Als u zich aan bovenstaande voorwaarden houdt, ondernemen wij geen juridische stappen tegen u betreffende de melding.
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • Wij houden u via e-mail op de hoogte van de voortgang van het oplossen van het probleem. 
  • Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. Wat de beloning is, bepalen wij zelf aan de hand van de ernst van het lek en de kwaliteit van de melding.

Privacy

Rijk Zwaan behandelt uw melding vertrouwelijk. De contactinformatie wordt alleen gebruikt om u over bovenstaande zaken op de hoogte te houden. Rijk Zwaan deelt persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of door een rechterlijke uitspraak verplicht is. 

Uitsluitingen

Hieronder staan voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s die buiten het bereik van het beleid vallen en daarom niet in behandeling worden genomen:

  • HTTP 404-codes/pagina's of andere HTTP-codes/pagina's en Content Spoofing/tekstinjectie op deze pagina's.
  • Melding van verouderde software of upgrade mogelijkheid zonder de daarbij behorende proof of concept van een werkende exploit te delen.
  • Systemen en protocollen die misbruikt kunnen worden voor een DDoS aanval.
  • Problemen met SSL-configuraties:
    • SSL-forward secrecy uitgeschakeld.
    • Zwakke/onveilige cipher suites.
  • Alles gerelateerd aan HTTP-beveiligingsheaders, bijvoorbeeld:
    • Strict-Transport-Security.
    • X-Frame-Options.
    • X-XSS-Protection.
    • X-Content-Type-Options.
    • Content-Security-beleid.
       

Onze PGP sleutel

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=tLGy
-----END PGP PUBLIC KEY BLOCK-----
 

Versie1.1 van 22 maart 2022.