Security.txt
Met een security.txt-bestand publiceert een organisatie veiligheid-contactinformatie over haar website.. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen de organisatie op te nemen over kwetsbaarheden die ze in de website of IT-systemen van de organisatie hebben gevonden.
Hoe voldoe je aan deze eis?
Security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn.
Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina (bijvoorbeeld een webformulier) zijn.
Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Het is optioneel om ook andere relevante informatie voor beveiligingsonderzoekers op te nemen, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden (meestal Coordinated Vulnerability Disclosure policy genoemd).
Is het verplicht?
Ja, dit is verplicht. Security.txt staat op de lijst verplichte standaarden (de ‘Pas toe of leg uit’-lijst) van het Forum Standaardisatie.
Meer informatie
Meer informatie over DMARC vind je bij Forum Standaardisatie.
De maandelijkse testresultaten van Internet.nl (inclusief DMARC) voor alle websites van de Rijksoverheid vind je in het Websiteregister Rijksoverheid.
Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van deze informatieveiligheid-standaard bij overheidsorganisaties.