Nexuzhealth Beleid voor de Gecoördineerde Bekendmaking van Kwetsbaarheden

    Bij Nexuzhealth staat de veiligheid van onze systemen, ons netwerk en onze producten helemaal bovenaan onze prioriteitenlijst. Ondanks alle voorzorgsmaatregelen is het mogelijk dat er toch nog kwetsbaarheden aanwezig zijn in onze systemen en processen.

     

    In nauwe samenwerking met Intigriti hebben we gekozen voor een publiek Bug Bounty-programma én een publiek Responsible Disclosure-programma. Op die manier kan iedereen ontdekte kwetsbaarheden melden. Door deel te nemen aan activiteiten die onder dit beleid vallen, aanvaardt u dat de bepalingen van dit beleid van toepassing zijn op uw relatie met ons.

     

    Deze pagina is bedoeld voor iedereen die een kwetsbaarheid ontdekt en verduidelijkt hoe die op een veilige manier kan worden gemeld aan het securityteam van Nexuzhealth. Bent u klant en hebt u een vraag over veiligheid? Neem dan contact op via de servicedesk

    Programma’s

    We hebben gekozen voor:

    • een publiek Bug Bounty-programma
    • een publiek Responsible Disclosure-programma

    Snelle links:

    Safe Harbor

    Wanneer u onderzoek doet naar kwetsbaarheden volgens dit beleid, beschouwen wij dat als geautoriseerd, wettig, nuttig voor de algemene veiligheid en uitgevoerd te goeder trouw. U dient daarbij wel alle toepasselijke wetten na te leven.

    Twijfelt u of uw onderzoek volledig in lijn ligt met dit beleid? Dien dan eerst een rapport in via ons officiële kanaal (zie hieronder) voordat u verder gaat.

    Nexuzhealth verbindt zich ertoe om te goeder trouw te handelen en geen juridische stappen te ondernemen zolang u zich houdt aan de voorwaarden van dit Responsible Disclosure-beleid.

    Regels

    Om verwarring te vermijden tussen ethisch hacken en kwaadwillige aanvallen, vragen we u zich strikt aan de volgende principes te houden:

    • test enkel systemen die binnen scope vallen en respecteer alles wat buiten scope is;
    • vermijd schending van privacy, vernietiging van data en onderbreking of vermindering van onze dienstverlening;
    • handel steeds te goeder trouw: toegang tot IT-, communicatie- of persoonsgegevens mag enkel onbedoeld en occasioneel plaatsvinden bij het aantonen van een kwetsbaarheid;
    • kopieer onze data enkel wanneer dit strikt noodzakelijk is voor uw onderzoek, en verwijder deze daarna permanent;
    • voer geen Denial of Service-aanvallen uit;
    • social engineering is niet toegestaan;
    • deel geen verkregen toegang of data met derden.

    Disclosure

    U mag een kwetsbaarheid niet publiekelijk bespreken of publiceren voordat die verholpen is en u van ons uitdrukkelijk toestemming hebt gekregen. 

    Beloningen

    Voor Nexuzhealth bestaat een publiek Bug Bounty-programma op [Intigriti.com/programs]. Dat programma heeft een duidelijk afgebakende scope: niet elke gemelde kwetsbaarheid komt in aanmerking voor een beloning (zie ‘Out of Scope’). De grootte van de beloning hangt af van de impact. Meer informatie vindt u op de website van Intigriti.

    Voor Responsible Disclosure-meldingen voorzien we geen geldelijke vergoeding. Wel wordt elke onderzoeker die via Intigriti een niet eerder bekende kwetsbaarheid meldt, opgenomen in onze Security Hall of Fame als blijk van waardering.

    Let op: u komt niet in aanmerking voor een beloning als u werknemer of consultant bent (of bent geweest) van Nexuzhealth, UZ Leuven of Cegeka.

    Rapporteren & contact

    Denkt u een kwetsbaarheid te hebben gevonden in onze systemen? Meld dit dan via de Intigriti-website, onze officiële coördinator. Daar kunt u uw bevindingen indienen.

    • Ons securityteam bekijkt uw melding met gepaste prioriteit nadat Intigriti de eerste triage heeft gedaan.
    • Meld de kwetsbaarheid zo snel mogelijk en uitsluitend via het Intigriti-platform.

    Voorkom teleurstellingen: denk vooraf goed na of de melding die u wilt indienen ook effectief een realistisch aanvalsscenario inhoudt. 

    Scope

    Het programma omvat alle diensten, producten en webomgevingen van Nexuzhealth.

    Voor financiële beloningen komen enkel de assets in aanmerking die expliciet vermeld staan in ons publiek Bug Bounty-programma.

    Gelieve geen meldingen in te dienen over:

    • louter theoretische kwetsbaarheden zonder bewijs;
    • automatische scans zonder proof of concept;
    • ontbrekende of zwakke HTTP-securityheaders;
    • lekken van niet-gevoelige gegevens;
    • issues zonder duidelijk aanvalsplan;
    • Cross-Site Request Forgery (CSRF) op niet-geauthenticeerde formulieren of formulieren zonder gevoelige acties;
    • verlopen SSL-certificaten;
    • clickjacking;
    • Denial of Service.

    Zero-day kwetsbaarheden die binnen 14 dagen na de publieke release van een patch worden ontdekt, mogen gemeld worden, maar komen doorgaans niet in aanmerking voor een beloning.

    Bij dubbele meldingen wordt enkel de eerste geaccepteerd. Een duplicaat is een kwetsbaarheid die al bij ons bekend is, ongeacht hoe we daarvan op de hoogte zijn geraakt (ook via intern onderzoek).

    Toepasselijk recht

    Bij een geschil over dit beleid dat niet door middel van een minnelijke schikking kan worden opgelost, is het Belgisch recht van toepassing.

    Contact

    Heeft u vragen over dit beleid of ondervindt u problemen bij het indienen van een rapport via Intigriti? Dan kunt u ons bereiken via security@nexuzhealth.com 

    Gebruik dit e-mailadres niet om rechtstreeks kwetsbaarheden te melden.

    Maak het verschil

    Samen maken we de zorg beter, laat ons helpen

    Heb je vragen over onze platformen en oplossingen?
    Kun je iets niet vinden? Wij helpen je graag verder.

    Inhoudelijke vragen? Stel ze aan je zorgverlener of ziekenhuis.

    Onze servicedesk Veelgestelde vragen
    nexuzhealth-employee-5