Let op: je gebruikt een verouderde browser waardoor pagina’s die je bezoekt mogelijk niet functioneren zoals ze bedoeld zijn. Update je browser voor een beter, sneller en veiliger bezoek aan de Efteling-website.

Responsible Disclosure

Hoe kan ik een zwakke plek in een ICT-systeem van de Efteling melden (Responsible Disclosure)?

Bij de Efteling vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als je een zwakke plek in één van onze systemen hebt gevonden horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om de gegevens van onze gasten en onze systemen beter te kunnen beschermen. 
 
Ons Responsible Disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken. Wij monitoren ons netwerk zelf. Hierdoor is de kans groot dat een scan wordt opgepikt, ons Security Operation Centre (SOC) hier onderzoek naar gaat doen en er mogelijk onnodige kosten worden gemaakt. 
 
Een zwakke plek in een ICT-systeem van de Efteling kun je bij ons melden via het e-mailadres cybersecurity@efteling.com.


Waar je aan moet denken bij Responsible Disclosure?

Als je een melding doet van een kwetsbaarheid in ons ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL (link) van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer informatie nodig zijn. 
  • Laat je contactgegevens (e-mailadres en/of telefoonnummer) achter, zodat wij contact met je kunnen opnemen. 
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid. 
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost. 
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen. 
  • Je verwijdert alle vertrouwelijke gegevens die je hebt verkregen in je onderzoek direct nadat wij de kwetsbaarheid hebben opgelost.

Maak geen misbruik van een zwakke plek in ons ICT-systeem

Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen.
  • Gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem).
  • Veranderingen aan te brengen in het systeem.
  • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen.
  • Gebruik te maken van het zogeheten “bruteforcen” van toegang tot systemen.
  • Gebruik te maken van “denial-of-service"" of “social engineering”.

Wat je van ons mag verwachten

Heb je een melding gedaan van een zwakke plek in ons ICT-systeem? Met jouw melding kunnen wij voorkomen dat belangrijke informatie in verkeerde handen valt of wordt gebruikt voor valse of strafbare handelingen. 
 
Wij behandelen je melding vertrouwelijk. Wij delen geen persoonlijke gegevens met derden zonder toestemming van jou, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. Over het behandelen van je melding houden wij je op de hoogte.

  • We reageren binnen vijf werkdagen inhoudelijk op je melding, inclusief de verwachte oplossingstermijn. Uiteraard houden we je ook daarna regelmatig op de hoogte van de voortgang van het oplossen van het probleem.  
  • We lossen de kwetsbaarheid zo snel mogelijk op. Ook hier speelt proportionaliteit een belangrijke rol: de termijn voor het oplossen van een kwetsbaarheid is afhankelijk van verschillende factoren, waaronder de ernst en de complexiteit van de kwetsbaarheid.  
  • Als je je aan bovenstaande verwachtingen houdt, zullen wij geen juridische stappen tegen je ondernemen ten aanzien van je melding.  
  • Als dank voor je hulp in het beter beschermen van onze systemen, belonen we je graag voor de melding van een tot dan toe ons nog onbekende kwetsbaarheid. Een beloning is sterk afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van de melding en zal daarom verschillen van sleutelhanger tot eventueel vrijkaarten voor het park.   
  • Mocht je een kwetsbaarheid vinden in software die wij gebruiken, maar die door een andere partij gemaakt wordt en die kwetsbaarheid valt onder een “bug bounty program”, dan is een eventuele bounty uiteraard voor jou.

Leidraad Responsible Disclosure

Bij het opstellen van deze Responsible Disclosure, hebben wij gebruik gemaakt van de leidraad voor Responsible Disclosure van de Rijksoverheid.

Maak kans op een Efteling Cadeaukaart van €50!

Laat je e-mailadres achter en ontvang 1 tot 2 keer per maand het laatste nieuws en aanbiedingen. Bovendien ontvang je gratis een persoonlijke video en verloten we iedere maand een Efteling Cadeaukaart ter waarde van €50!

Door op "Mis niets" te klikken meld je je aan voor de nieuwsbrief van de Efteling en ga je akkoord met het privacy statement.