security.txt
FS:Securitytxt
Naar navigatie springen
Naar zoeken springen
Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Securitytxt
Beschrijving | |
---|---|
Status | |
Lijst status | Verplicht (pas toe leg uit) |
Functioneel toepassingsgebied | security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is. |
Organisatorisch werkingsgebied | Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector. |
Aanvullende verplichtingen | |
Europese status (MSP) | Nee |
Nut en werking | |
Typering | |
Nut | Elke dag vinden beveiligingsonderzoekers (ook wel goedwillende of ethische hackers) digitale kwetsbaarheden in websites of IT-systemen. Vaak is het niet duidelijk wáár een beveiligingsonderzoeker een gevonden kwetsbaarheid kan melden. Er gaat daardoor mogelijk kostbare tijd verloren aan het bereiken van de juiste afdeling of persoon binnen de verantwoordelijke organisatie. Het gebruik van de security.txt-standaard kan helpen om dit te voorkomen. De standaard beschrijft hoe een organisatie onder meer contactinformatie kan publiceren die een beveiligingsonderzoeker vervolgens kan gebruiken om een gevonden kwetsbaarheid aan de betreffende organisatie te melden. |
Werking | Met een security.txt-bestand kan een organisatie security-contactinformatie op haar webserver publiceren. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen de organisatie op te nemen over kwetsbaarheden die zij in de website of IT-systemen van de organisatie hebben gevonden.
Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina (bijvoorbeeld een webformulier) zijn. Merk op dat gepubliceerde contactinformatie openbaar is en ook kan worden misbruikt, bijvoorbeeld om spam te sturen naar een gepubliceerd e-mailadres. Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Het is optioneel om ook andere relevante informatie voor beveiligingsonderzoekers op te nemen, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden (meestal Coordinated Vulnerability Disclosure policy genoemd). |
Relatie met andere standaarden | |
Domein | |
Trefwoorden | Informatiebeveiliging, Internet, Website |
Gangbaar | |
Detailinformatie | |
Volledige naam | security.txt |
Versie | RFC 9116 |
Specificatiedocument | Specificatiedocument security.txt |
Beheerorganisatie | IETF |
Community | Communitygroup via GitHub |
Hulpmiddelen | * securitytxt.org-website |
Conformiteitstest | Internet.nl |
Praktijkvoorbeelden | |
Toetsingsinformatie | |
Toelichting bij opname | |
Adoptieadviezen | Het Forum Standaardisatie geeft de volgende adviezen bij plaatsing van security.txt op de
‘pas toe of leg uit’-lijst:
|
Uitstekend beheer | Nee |
Documentatie | |
Datum van aanmelding | 2022-06-02 |
Datum van besluit | 2023-05-25 |
Overig | |
Waarvoor geldt de verplichting | |
Toelichting | |
Aandachtspunten | |
Advies aan beheerder | |
Sjabloon-bestektekst | |
CPV-code(s) | |
Leveranciers |
- 20220928-Intakeadvies-securitytxt.pdf (Intakeadvies,https://forumstandaardisatie.nl/sites/default/files/BFS/3-lijsten/standaarden/security.txt/20220928-Intakeadvies-securitytxt.pdf,PDF Document)
- 20230209-Expertadvies-securitytxt (Expertadvies,https://forumstandaardisatie.nl/sites/default/files/BFS/3-lijsten/standaarden/security.txt/20230209-Expertadvies-securitytxt.pdf,PDF Document)
- 20230412-Forumadvies-securitytxt (Forumadvies,https://forumstandaardisatie.nl/sites/default/files/BFS/3-lijsten/standaarden/security.txt/20230412-Forumadvies-securitytxt.pdf,PDF Document)