Responsible Disclosure-programma

Wanneer oplossingen voor beveiligingslekken gereed zijn, worden ze via onze regelmatige patchingcyclus gedeeld met onze klanten.

Overzicht

ServiceNow neemt beveiliging zeer serieus. Als u een beveiligingslek in onze systemen, producten of netwerkinfrastructuur ontdekt, waardeert ServiceNow uw hulp bij het op een verantwoordelijke manier kenbaar maken van het probleem aan ons bedrijf. ServiceNow geeft geen goedkeuring voor pogingen tot actieve audits van onze infrastructuur. We beseffen dat beveiligingslekken incidenteel zullen worden ontdekt. De onderstaande inhoud beschrijft de best practice voor het verzenden van informatie over beveiligingslekken.

Toepassingsgebied

Let op: ServiceNow geeft geen goedkeuring voor pogingen tot actieve audits van onze infrastructuur.

Dit document is van toepassing op technische beveiligingslekken in producten, services en systemen die eigendom zijn van ServiceNow. Houd bij het melden van beveiligingslekken rekening met zowel het aanvalsscenario of de mogelijkheid voor misbruik als de gevolgen die de bug heeft voor beveiliging. De onderstaande domeinen zijn voorbeelden van onze bedrijfsmiddelen.

*.servicenow.com
*.service-now.com

Buiten reikwijdte

  • Domeinen/subdomeinen die buiten de goedgekeurde testreikwijdte vallen.
  • Lekken met betrekking tot Denial of Service (DoS)-aanvallen.
  • Beveiligingslekken die zijn ontdekt door geautomatiseerde hulpprogramma's of scans.
  • Beveiligingslekken die fysieke toegang tot de computer of het apparaat van een gebruiker vereisen.
  • Beveiligingslekken in partnersites van ServiceNow.
  • Technieken voor spam of social engineering.
  • Fysieke aanvallen tegen ServiceNow-kantoren of datacenters.


Richtlijnen

Volg de onderstaande richtlijnen bij het doorgeven van beveiligingslekken.

  • Meld alle mogelijke beveiligingsproblemen zo snel mogelijk. ServiceNow zal alles in het werk stellen om het probleem snel op te lossen.

  • Geef voldoende details om het beveiligingslek te reproduceren, inclusief een "proof of concept".

  • Het gebruik van ReproNow om de reproduceerbaarheid van problemen te demonstreren, wordt aangemoedigd maar is niet vereist.

  • Maak een probleem niet kenbaar aan het publiek of aan derden voordat ServiceNow het heeft opgelost.

  • Probeer te goeder trouw schendingen van de privacy, vernietiging van gegevens en onderbreking of achteruitgang van onze service te voorkomen. Werk alleen met accounts waarvan u eigenaar bent of waarvoor u expliciete toestemming van de accounthouder hebt gekregen.

  • Redigeer alle taalgebruik of afbeeldingen die ertoe kunnen leiden dat het programma of ServiceNow-klanten worden geïdentificeerd aan de hand van informatie over een opgelost beveiligingslek.

  • Voer geen disruptieve tests (such as DoS) uit en maak geen gebruik van handelingen die de vertrouwelijkheid, integriteit of beschikbaarheid van informatie en systemen kunnen beïnvloeden.

  • Maak geen gebruik van social engineering of phishing van klanten of werknemers.

  • Vraag geen compensatie voor tijd en materialen of ontdekte beveiligingslekken via het Responsible Disclosure-programma.


Indiening van beveiligingslekken

Om een beveiligingslek te melden, dient u een rapport in (inclusief proof of concept) via e-mail, naar disclosure@service-now.com. De onderwerpsregel van de e-mail dient de trefwoorden "rapport", "beveiligingslek" of "bug" te bevatten. ServiceNow zal proberen uw rapport te evalueren en u een reactie te sturen binnen 5 werkdagen na indiening.

Referenties

 

Bedankt dat u ServiceNow en onze gebruikers veilig helpt houden!

Hartelijk dank

Bedankt voor uw verzoek. Een ServiceNow vertegenwoordiger zal binnen 48 uur contact met u opnemen.

form close button

Neem contact met ons op

Ik ontvang graag informatie over aankomende evenementen, producten en diensten van ServiceNow. Ik begrijp dat ik mij op ieder gewenst moment kan uitschrijven.

  • "Door dit formulier in te dienen, bevestig ik dat ik akkoord ga met de Privacyverklaring .