Gedragscode

Introductie

Deze Gedragscode stelt de fundamentele principes en normen vast die onze professionele praktijk als aanbieder van broncode en andere audit diensten leiden. Het weerspiegelt onze toewijding aan integriteit, vertrouwelijkheid, technische uitmuntendheid en ethische zakelijke praktijken in al onze interacties met klanten, partners en de bredere gemeenschap.

Kernwaarden

  • Integriteit: We voeren onze activiteiten uit met eerlijkheid, transparantie en verantwoordelijkheid.
  • Vertrouwelijkheid: We beschermen gevoelige informatie en respecteren privacy.
  • Technische Uitmuntendheid: We handhaven hoge normen van technische bekwaamheid en nauwkeurigheid.
  • Onafhankelijkheid: We bieden onbevooroordeelde beoordelingen vrij van belangenconflicten.
  • Verantwoordelijkheid: We nemen ownership van ons werk en de impact ervan op klanten en de organisatie.

Professioneel Gedrag

1. Vertrouwelijkheid en Gegevensbescherming

  • We behandelen alle broncode, systemen en informatie als strikt vertrouwelijk.
  • We implementeren passende beveiligingsmaatregelen om alle gegevens te beschermen.
  • We benaderen broncode en systemen alleen met de juiste autorisatie vanop een veilige werkomgeving.
  • We delen geen gegevens, zelfs niet de naam van een klant, tenzij we expliciete toestemming hiervoor krijgen.
  • We voldoen aan alle relevante gegevensbescherming- en privacyregelgeving.
  • We handhaven geheimhoudingsovereenkomsten zelfs na beëindiging van klantopdrachten.

2. Belangenconflicten

  • We onthullen alle feitelijke of potentiële belangenconflicten aan klanten.
    Deze belangenconflicten omvatten maar zijn niet beperkt tot:
    • Persoonlijke relaties (familie, vriendschap, romantische relaties)
    • Professionele relaties (voormalige werkgever, voormalige collega, samenwerkingspartner)
    • Financiële belangen (aandelen, investeringen, leningen)
    • Eerdere betrokkenheid bij de ontwikkeling van de te auditen materie
  • We behouden onafhankelijkheid van softwareleveranciers wiens producten we evalueren.
  • We weigeren opdrachten waarbij onze onafhankelijkheid in gevaar kan komen.
  • We accepteren geen stimulansen die onze auditresultaten kunnen beïnvloeden.

3. Technische Competentie

  • We ontwikkelen en onderhouden voortdurend onze technische vaardigheden en kennis.
  • We accepteren alleen opdrachten binnen onze competentiegebieden.
  • We gebruiken methodische, op bewijs gebaseerde benaderingen voor codebeoordeling.
  • We blijven op de hoogte van actuele beveiligingsdreigingen en kwetsbaarheden.
  • We erkennen wanneer problemen gespecialiseerde expertise vereisen die buiten ons bereik valt.

4. Kwaliteit van Dienstverlening

  • We richten ons specifiek op de vragen en doelen die de klant heeft geformuleerd.
  • We houden ons strikt aan de vooraf afgesproken scope van de audit.
  • We documenteren onze bevindingen duidelijk en nauwkeurig binnen het kader van de opdracht.
  • We bieden geen diensten of analyses aan die buiten de afgesproken scope vallen zonder expliciete toestemming.
  • We leveren diensten binnen overeengekomen tijdlijnen en budgetten.
  • We zorgen voor adequate opvolging binnen de grenzen van de oorspronkelijke overeenkomst.
  • Indien we buiten de afgesproken scope zaken identificeren die een aanzienlijke verbetering (zakelijk, technisch of anderszins) zouden kunnen betekenen, melden we dit aan de klant.

5. Klantrelaties

  • We communiceren open en eerlijk met klanten.
  • We stellen realistische verwachtingen over onze diensten en resultaten.
  • We respecteren de bedrijfsdoelstellingen en beperkingen van klanten.
  • We bieden objectief advies op basis van technische verdienste, niet commerciële belangen.
  • We reageren snel op vragen en zorgen van klanten.
  • We handhaven professionele grenzen met de klant en hun medewerkers.
  • We benaderen kwaliteitsproblemen altijd vanuit een constructief perspectief, met begrip dat deze meestal het resultaat zijn van noodzakelijke compromissen en praktische beperkingen.

6. Openbaarmaking van Bevindingen

  • We erkennen dat de eindverantwoordelijkheid voor openbaarmaking van kwetsbaarheden volledig bij de klant ligt.
  • We adviseren de klant over standaard protocollen voor openbaarmaking van kwetsbaarheden in de industrie indien gewenst.
  • We kunnen op verzoek assisteren bij het proces van openbaarmaking, zonder de verantwoordelijkheid van de klant over te nemen.
  • We respecteren absoluut de beslissing van de klant over of, wanneer en hoe bevindingen openbaar worden gemaakt.
  • We alarmeren belanghebbenden of het publiek niet zonder expliciete instructie van de klant.
  • Bij wettelijke verplichtingen informeren we de klant zodat deze zelf de gepaste actie kan ondernemen.

7. Intellectueel Eigendom

  • We respecteren intellectuele eigendomsrechten van klanten en derden.
  • We eigenen ons geen broncode of bedrijfseigen technieken toe.
  • We maken duidelijk onderscheid tussen broncode van de klant en onze eigen tools of oplossingen.
  • We schrijven broncode en tools van derden die in ons werk worden gebruikt correct toe.
  • We beschermen ons eigen intellectueel eigendom en bedrijfseigen methodologieën.

8. Concurrentiepraktijken

  • We concurreren op basis van kwaliteit, waarde en expertise.
  • We maken geen valse of misleidende claims over concurrenten.
  • We proberen geen toegang te krijgen tot bedrijfseigen methoden of tools van concurrenten.
  • We respecteren geheimhoudingsovereenkomsten met voormalige klanten wanneer we met concurrenten werken.
  • We vermijden concurrentiebeperkende praktijken.

9. Sociale Media, Externe Communicatie en Geheimhouding

  • We onthullen nooit met welke klanten we samenwerken of hebben samengewerkt in welke externe context dan ook, zonder expliciete schriftelijke toestemming (LinkedIn!).
  • We delen geen bevindingen, resultaten of details van projecten op sociale media, tijdens conferenties, in privégesprekken of in interacties met andere klanten.
  • We maken geen opmerkingen die impliciet of expliciet kunnen suggereren dat we met specifieke klanten samenwerken of hebben samengewerkt, in welke sociale of professionele context dan ook.
  • We zijn terughoudend met het delen van technische details die, zelfs zonder klantverwijzing, kunnen worden herleid tot specifieke projecten.
  • We vermijden het delen van meningen over de beveiligingsstatus of code kwaliteit van producten/diensten die we mogelijk hebben geaudit, ongeacht de setting (online, tijdens presentaties, in informele gesprekken).
  • Bij het delen van algemene vakkennis zorgen we ervoor dat deze niet herleidbaar is tot specifieke klanten of projecten.
  • We houden dezelfde professionele standaarden aan in alle omgevingen, waaronder sociale media, conferenties, netwerkevenementen, privégesprekken en binnen vriendenkringen.
  • We begrijpen dat vertrouwelijkheid een kernaspect is van onze dienstverlening dat zich uitstrekt tot alle professionele en persoonlijke interacties.

10. Naleving en Bestuur

  • We voldoen aan alle toepasselijke wetten en voorschriften.
  • We onderhouden passende bedrijfsvergunningen en certificeringen.
  • We hanteren duidelijke retentietermijnen en bewaren klantgegevens, broncode, en auditresultaten niet langer dan strikt noodzakelijk voor de dienstverlening of wettelijk vereist is.
  • We hanteren procedures voor het veilig verwijderen van klantgegevens na afloop van de vastgestelde retentietermijn.
  • We handhaven deze gedragscode via interne bestuursstructuren.
  • We evalueren en actualiseren deze gedragscode periodiek om evoluerende normen en praktijken te weerspiegelen.

Implementatie

  • Alle werknemers en aannemers moeten deze code erkennen en naleven.
  • Er wordt een vertrouwelijk kanaal onderhouden voor vragen en het melden van ethische of andere zorgen.
  • Overtredingen van deze code zijn onderworpen aan disciplinaire maatregelen.
  • We moedigen klanten en partners aan om feedback te geven over onze naleving van deze principes.

Conclusie

Wij geloven dat het naleven van deze Gedragscode niet alleen de hoogste kwaliteit van dienstverlening aan onze klanten waarborgt, maar ook bijdraagt aan het opbouwen van vertrouwen in de software-industrie en het bevorderen van de staat van softwarebeveiliging ten behoeve van de samenleving als geheel.