Responsible Disclosure

We hechten veel belang aan de beveiliging van onze informatie en informaticasystemen.

Ondanks alle beschermingsmaatregelen die we treffen, blijft er soms toch sprake van kwetsbaarheden.

Heb je een veiligheidsprobleem in ons systeem opgemerkt?
Hoe meld je een probleem?
Een aantal regels
Na de rechtzetting, de publicatie
Onze verbintenis ten opzichte van jou
Contact

Heb je een veiligheidsprobleem in ons systeem opgemerkt?

Dan willen we graag met je samenwerken om de beveiliging van onze systemen te verbeteren en de gebruikers en partners van onze diensten te beschermen.

In dit beleid voor verantwoorde bekendmaking worden de voorwaarden voor deze samenwerking bepaald, die van toepassing zijn voor alle systemen van Iriscare.

Neem bij vragen contact op met ons via het e-mailadres cybersecurity@ccc-ggc.brussels.

Hoe meld je een probleem?

Heb je een kwetsbaarheid opgemerkt in een van onze systemen?

Meld het ons zo snel mogelijk via ons online formulier of via e-mail op het adres cyb e rsecurity@ccc-ggc.brussels.

Geef ons zoveel mogelijk informatie zodat we zo snel mogelijk het probleem kunnen reproduceren en oplossen.

Algemeen volstaat het IP-adres of de URL van het systeem in kwestie, samen met een beschrijving van het probleem. In sommige complexere gevallen kunnen echter verdere verduidelijkingen nodig zijn.

Vermeld je contactgegevens (naam, e-mailadres en/of telefoonnummer) zodat we samen een beter resultaat kunnen bereiken. Als je dat wil mag je ook een schuilnaam gebruiken, zolang we voor bijkomende vragen contact met je kunnen opnemen.

Een aantal regels

Maak de gespotte kwetsbaarheid niet bekend tot we ze hebben verholpen. (Wil je ruchtbaarheid geven aan je opsporingswerk? Volg dan de procedures die beschreven staan in het punt “Publicatie”).

Misbruik de kwetsbaarheid niet door gegevens te kopiëren, te verwijderen, te wijzigen, te analyseren of te downloaden, buiten dat wat strikt noodzakelijk is om het probleem aan het licht te brengen.

Maak je niet schuldig aan een of meer van onderstaande zaken:
- malware installeren (virussen, computerwormen, Trojaanse paarden, enz.);
- gegevens kopiëren, wijzigen of verwijderen;
- wijzigingen aanbrengen in het systeem;
- de toegang tot het systeem herhaaldelijk benutten of delen;
- geautomatiseerde analysetools inzetten;
- brute force-aanvallen plegen om toegang te krijgen tot het systeem.

Gebruik geen kwaadwillige hackingtechnieken (fysieke beveiliging, social engineering, distributed denial of service, spam, toepassingen van derden, phishing, enz.).

Verwijder onmiddellijk nadat je het probleem aan onze administratie hebt gemeld alle gegevens die je tijdens het ethisch hacken hebt verkregen.

Stel geen enkele handeling die de beschikbaarheid, prestaties, vertrouwelijkheid of integriteit van onze systemen in gevaar kan brengen.

De in de context van dit beleid gestelde handelingen moeten beperkt blijven tot opsporen van mogelijke kwetsbaarheden en het delen van de daarbij horende informatie met onze administratie.

Na de rechtzetting, de publicatie

We begrijpen dat je jouw opsporingswerk wil delen met de gemeenschap.

Als je – uiteraard na de rechtzetting ervan – informatie over de opgespoorde kwetsbaarheid wil publiceren, hou er dan rekening mee om:

ons minstens één maand voor publicatie op de hoogte te brengen;
ons de mogelijkheid te geven een antwoord of commentaar op te stellen;
Iriscare uitsluitend in je publicatie te vermelden met onze uitdrukkelijke toestemming.

Onze verbintenis ten opzichte van jou

Als jij de voorwaarden zoals uiteengezet in dit beleid voor verantwoorde bekendmaking hebt nageleefd en geen andere inbreuken hebt gepleegd, verbinden wij ons ertoe:

geen juridische stappen tegen je te ondernemen;
zo snel mogelijk (zo mogelijk binnen vijf werkdagen) te reageren op je rapport, met vermelding van ons onderzoek van het rapport en de geschatte datum voor de oplossing van het probleem;
je melding vertrouwelijk te verwerken en je persoonlijke gegevens niet te delen met derden zonder je toestemming, tenzij we hier wettelijk toe verplicht zijn;
je op de hoogte houden van de voortgang bij de oplossing van het probleem;
alle in kaart gebrachte problemen zo snel mogelijk op te lossen.

We behouden ons echter het recht voor om onvolledige of onvoldoende kwaliteitsvolle meldingen naast ons neer te leggen.

Contact

Voor om het even welke vraag over de toepassing van dit beleid, vragen we je om contact op te nemen met cybersecurity@ccc-ggc.brussels voordat je technisch actie onderneemt.

We behouden ons het recht voor dit beleid te allen tijde te wijzigen of het stop te zetten.

Bedankt voor je medewerking.