Ethische veiligheidsmelding van VDAB
Bij VDAB werken we dagelijks met persoonsgevoelige informatie. Daarom streven we naar een goed beveiligde infrastructuur. Ondanks onze inzet voor goed beveiligde systemen is het toch mogelijk dat er nog zwakheden te vinden zijn.
Ontdek je een zwakke plek in een van onze systemen, breng ons dan zo snel mogelijk op de hoogte zodat wij dit probleem zo snel mogelijk kunnen oplossen.
Bij twijfels vragen we je om eerst contact op te nemen via security.operations@vdab.be voor je verdere handelingen uitvoert.
Wij vragen je:
- Je bevindingen te mailen naar security.operations@vdab.be. Versleutel ze met onze PGP-key om ervoor te zorgen dat ze niet door anderen gelezen kunnen worden.
- Geen misbruik te maken van het gevonden probleem, door bijvoorbeeld meer data te downloaden dan nodig is om het probleem aan te tonen of door persoonsgevoelige data in te kijken, wijzigen of verwijderen.
- Alle bevindingen vertrouwelijk te houden en niet met anderen te delen.
- Alle gegevens die je verkregen hebt via het lek onmiddellijk te wissen.
- Geen aanvallen te doen op fysieke infrastructuur en op applicaties buiten de infrastructuur van VDAB en geen gebruik te maken van social engineering, DDOS-aanvallen en spam.
- Voldoende informatie omtrent het probleem te geven zodat wij het kunnen reproduceren en zo snel mogelijk oplossen.
Wij beloven je:
- Dat we je binnen de 5 werkdagen na het ontvangen van je mail gaan laten weten wat onze beoordeling is en wat de verwachte datum is voor een oplossing.
- Dat we geen juridische stappen gaan ondernemen tegen je op voorwaarde dat je je aan bovenstaande voorwaarden houdt.
- Om je melding met vertrouwen te behandelen en je persoonlijke gegevens niet met derden te delen zonder je toestemming, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
- Om je op de hoogte te houden over verdere evoluties rond het gevonden probleem.
- Om -indien je dit wenst- in eventuele berichtgeving over het gemelde probleem je naam te vermelden als de ontdekker.
Je kan je melding ook onder een pseudoniem doen.
Indien je, nadat de kwetsbaarheid is verwijderd, over de kwetsbaarheid wenst te publiceren, verzoeken we je om ons dit minstens één maand voor de publicatie te melden, en om ons de mogelijkheid te geven hierop te reageren. Ons identificeren -rechtstreeks of onrechtstreeks- in een publicatie kan slechts na ons uitdrukkelijk akkoord.
Wij behouden ons het recht voor om de inhoud van deze policy op elk gewenst moment te wijzigen, of om de policy te beëindigen.
Deze tekst is gebaseerd op
“Responsible Disclosure” van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 3.0 licentie.
Hall of fame
- Kartik Garg - linkedin.com/in/kartik-garg-
6370b6232 - Nikhil Rane - linkedin.com/in/nikhil-rane-
31733a217 - Gaurang Maheta - linkedin.com/in/
gaurang883 - Yehonatan Shachor
- Jimmy Bruneel
- Niels Ryserhove
- Arthik Kumar Gorantla