CompuGroup Medical
Synchronizing Healthcare
Carrière
Investor Relations
Eine Person tippt mit dem Finger auf ein Tablet-PC mit einer Investor-Relations-Präsentation
CGM Global
Mehrere CGM-Flaggen

Responsible Disclosure

(english version see below)

Bij CompuGroup Medical Nederland BV vinden we de beveiliging van onze systemen, ons netwerk en onze producten van het grootste belang.

Ondanks de grote zorg die wij besteden aan de beveiliging, kunnen er toch zwakke plekken blijven bestaan. Als u zo'n zwakke plek heeft gevonden, dan horen wij dat graag zo snel mogelijk, zodat wij zo snel mogelijk passende maatregelen kunnen nemen.

Zwakke plekken kun je op twee manieren ontdekken: je kunt er per ongeluk op stuiten tijdens het normale gebruik van een digitale omgeving, of je kunt expliciet je best doen om ze te vinden.

Ons responsible disclosure beleid is geen uitnodiging om actief ons bedrijfsnetwerk en applicaties te scannen om zwakke plekken te ontdekken. We controleren ons bedrijfsnetwerk zelf.

Dit betekent dat de kans groot is dat een scan wordt gedetecteerd en dat er een onderzoek wordt uitgevoerd door ons Security Operation Center (SOC), wat kan leiden tot onnodige kosten.

U wordt echter uitgenodigd om actief te zoeken naar kwetsbaarheden in onze producten in een offline niet-productieomgeving en uw bevindingen aan ons te melden.

Onze verantwoordelijkheid ten opzichte van onze klanten houdt in dat het niet onze bedoeling is om hackpogingen op hun infrastructuur aan te moedigen; we horen echter graag zo snel mogelijk van u als er kwetsbaarheden worden gevonden, zodat we deze adequaat kunnen verhelpen.


We willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

We vragen je om:

  • Uw bevindingen zo snel mogelijk te mailen naar info.nl@cgm.com.
  • Maak geen misbruik van de kwetsbaarheid, bijvoorbeeld door gegevens te downloaden, te bewerken of te verwijderen. We zullen uw melding altijd serieus nemen en vermoedens van een kwetsbaarheid onderzoeken, zelfs zonder bewijs.
  • Deel het probleem niet met anderen totdat het is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering of hackingtools, zoals kwetsbaarheidsscanners.
  • Geef voldoende informatie om het probleem te kunnen reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, hoewel meer informatie nodig kan zijn voor complexere kwetsbaarheden.

Wat we beloven:

  • We reageren binnen drie werkdagen op je melding, met onze evaluatie van de melding en een verwachte oplossingsdatum.
  • We behandelen je melding vertrouwelijk en delen je persoonlijke informatie niet met derden zonder jouw toestemming. Een uitzondering hierop vormen de politie en justitie in het geval van vervolging of als er informatie wordt geëist.
  • We houden je op de hoogte van de voortgang van de oplossing van het probleem.
  • In de communicatie over het gemelde probleem vermelden we jouw naam als degene die het probleem heeft ontdekt, als je dat wilt.
  • Het is helaas niet mogelijk om vooraf te garanderen dat er geen gerechtelijke stappen tegen u worden ondernomen. We hopen elke situatie individueel te kunnen bekijken. We zien het als onze morele plicht om je aan te geven als we vermoeden dat de zwakke plek of gegevens worden misbruikt, of dat je kennis over de zwakke plek hebt gedeeld met anderen. U kunt er zeker van zijn dat een toevallige ontdekking in onze online omgeving niet zal leiden tot vervolging.
  • Als dank voor je hulp bieden we een beloning voor elke melding van een beveiligingsprobleem dat niet bij ons bekend is. We bepalen de waarde van de beloning op basis van de ernst van de inbreuk en de kwaliteit van de melding.

We streven ernaar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en we willen graag betrokken worden bij elke publicatie over het probleem zodra het is opgelost.

Responsible Disclosure

At CompuGroup Medical Nederland BV, we consider the security of our systems, our network and our products, of utmost importance.  

Despite the great care we take regarding security, weak points can still remain. If you have found such a weakness, we would like to hear about it as soon as possible so that we can take appropriate measures as quickly as possible.  

Weak points can be discovered in two ways: you can accidently come upon something during the normal use of a digital environment, or you can explicitly do your best to find them.  

Our responsible disclosure policy is not an invitation to actively scan our business network  and applications to discover weak points. We monitor our business network ourselves.  

This means that there is a high chance that a scan will be detected, and that an investigation will be performed by our Security Operation Center (SOC), which could result in unnecessary costs.  

You are, however, invited to actively search for vulnerabilities in our products in an offline non-production environment and to report your findings to us.  

Our responsibility to our customers means that our intention is not to encourage hacking attempts on their infrastructure; however, we would like to hear from you as quickly as possible if vulnerabilities are found, so that we can resolve them adequately.  

We would like to work with you to better be able to protect our customers and our systems.  

We ask that you:  

  • E-mail your findings as quickly as possible to info.nl@cgm.com.  
  • Do not abuse the vulnerability; for example, by downloading, editing or deleting data. We will always take your report seriously and investigate any suspicions of a vulnerability, even without proof.  
  • Do not share the problem with others until it has been resolved.  
  • Do not make use of attacks on physical security, of social engineering or hacking tools, such as vulnerability scanners.  
  • Give adequate information for the problem to be reproduced so that we can resolve it as quickly as possible. Usually, the IP address or the URL of the affected system and a description of the vulnerability are enough, although more information might be necessary for more complex vulnerabilities.  

 

What we promise:  

  • We will respond to your report within three business days, with our evaluation of the report and an expected resolution date.  
  • We will handle your report confidentially and will not share your personal information with third parties without your permission. An exception to this is the police and judiciary in the event of prosecution or if information is demanded.  
  • We will keep you informed of the progress of the solution to the problem.  
  • In communication about the reported problem, we will state your name as the party that discovered the problem, if you wish.  
  • It is unfortunately not possible to guarantee in advance that no legal action will be taken against you. We hope to be able to consider each situation individually. We consider ourselves morally obligated to report you if we suspect the weakness or data are being abused, or that you have shared knowledge of the weakness with others. You can rest assured that an accidental discovery in our online environment will not lead to prosecution.  
  • As thanks for your help, we offer a reward for every report of a security problem that is not known to us. We determine the value of the reward on the basis of the seriousness of the breach and the quality of the report.  

We strive to resolve all problems as quickly as possible, to keep all involved parties informed and we would like to be involved in any publication about the problem once it is resolved.