Aan de slag
Created with Sketch.

Recovery Email

Your account give you access to even more premium content, don't lose access to it. Provide a recovery email below.
  • Secondary E-mail
Verzenden

Responsible Disclosure-programma

Wanneer er oplossingen voor kwetsbaarheden beschikbaar zijn, worden deze via onze reguliere patchingcyclus gedeeld met onze klanten.

Overzicht

ServiceNow neemt beveiliging zeer serieus. Als u een kwetsbaarheid in onze systemen, producten of netwerkinfrastructuur ontdekt, waardeert ServiceNow het als u dit op een verantwoorde manier aan ons bedrijf kenbaar maakt. ServiceNow staat geen pogingen tot actieve audits van onze infrastructuur toe. We beseffen dat kwetsbaarheden incidenteel ontdekt kunnen worden. Onderstaande inhoud beschrijft de best practices voor het inzenden van informatie over kwetsbaarheden.

Reikwijdte

Let op: ServiceNow staat geen pogingen tot actieve audits van onze infrastructuur toe.

Dit document is van toepassing op technische kwetsbaarheden in producten, services en systemen die eigendom zijn van ServiceNow. Houd bij het melden van kwetsbaarheden rekening met zowel het aanvalsscenario of de mogelijkheid tot misbruik als de gevolgen die de bug heeft voor beveiliging. De onderstaande domeinen zijn voorbeelden van onze bedrijfsmiddelen.

*.servicenow.com
*.service-now.com

Buiten reikwijdte

  • Domeinen/subdomeinen die buiten de goedgekeurde testreikwijdte vallen.
  • Kwetsbaarheden met betrekking tot Denial of Service (DoS)-aanvallen.
  • Kwetsbaarheden die zijn ontdekt door geautomatiseerde tools of scans.
  • Kwetsbaarheden die fysieke toegang tot de computer of het apparaat van een gebruiker vereisen.
  • Kwetsbaarheden in partnersites van ServiceNow.
  • Technieken voor spam of social engineering.
  • Fysieke aanvallen tegen ServiceNow-kantoren of datacenters.


Richtlijnen

Volg onderstaande richtlijnen bij het doorgeven van kwetsbaarheden.

  • Meld alle mogelijke beveiligingsproblemen zo snel mogelijk. ServiceNow zal alles in het werk stellen om het probleem snel op te lossen.

  • Geef voldoende details om de kwetsbaarheid te reproduceren, inclusief een 'proof of concept'.

  • Het gebruik van ReproNow om de reproduceerbaarheid van problemen te demonstreren, wordt aangemoedigd, maar is niet vereist.

  • Maak een probleem niet kenbaar aan het publiek of aan derden voordat ServiceNow het heeft opgelost.

  • Probeer te goeder trouw schendingen van de privacy, vernietiging van gegevens en onderbreking of achteruitgang van onze service te voorkomen. Werk alleen met accounts waarvan u eigenaar bent of waarvoor u expliciete toestemming van de accounthouder hebt gekregen.

  • Redigeer alle taalgebruik of afbeeldingen waarmee het programma of ServiceNow-klanten geïdentificeerd kunnen worden aan de hand van informatie over een opgeloste kwetsbaarheid.

  • Voer geen disruptieve tests (such as DoS) uit en maak geen gebruik van handelingen die de vertrouwelijkheid, integriteit of beschikbaarheid van informatie en systemen kunnen beïnvloeden.

  • Maak geen gebruik van social engineering of phishing van klanten of werknemers.

  • Vraag geen compensatie voor tijd en materialen of ontdekte kwetsbaarheden via het Responsible Disclosure-programma.


Indiening van kwetsbaarheden

Om een beveiligingslek te melden, dient u een rapport in (inclusief proof of concept) via e-mail, naar disclosure@servicenow.com. ServiceNow zal proberen uw rapport te evalueren en u een reactie te sturen binnen 5 werkdagen na indiening.

Referenties

 

Bedankt dat u ServiceNow en onze gebruikers veilig helpt houden!

Rapport verzenden
Contact
Demo