VLM-beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’)

​​​​​De VLM vindt het belangrijk dat haar informatie en systemen veilig zijn.

Ondanks onze zorg voor de beveiliging van deze systemen kan het voorkomen dat er toch een kwetsbaarheid is.

Als u een kwetsbaarheid in één van onze systemen heeft gevonden, dan horen wij dat graag zodat wij zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om ons publiek en onze systemen beter te beschermen.

Daarom hebben wij gekozen voor een beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’), zodat u ons kan informeren als u een kwetsbaarheid ontdekt.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van de VLM (*.vlm.be). Bij twijfel vragen we om contact op te nemen via InfoSec@vlm.be​.

Wat wij van u vragen

Als u een kwetsbaarheid ontdekt in één van onze systemen, vragen wij u:
de kwetsbaarheid te melden
  • ​De kwetsbaarheid zo snel mogelijk na de ontdekking te melden. Mail uw bevindingen en het tijdstip waarop de kwetsbaarheid is gevonden naar InfoSec@vlm.be en versleutel ze met onze PGP k​ey​ om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn, zoals:
    • De stappen die ondernomen werden om de kwetsbaarheid te ontdekken.
    • ​Parameters (zoals filters en invoervelden) die een rol spelen.
    • ​​​​Schermafbeeldingen worden gewaardeerd.
    • ​​​Opgelet: we aanvaarden enkel rapporten in het Nederlands of Engels.
  • Uw contactgegevens achter te laten, zodat de VLM u kan contacteren om samen te werken aan een veilig resultaat. Laat minstens uw naam, e-mailadres en/of telefoonnummer achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat wij u kunnen contacteren als wij bijkomende vragen hebben.
  • Te bevestigen dat u conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen.

Regels die u moet respecteren

  • ​Maak de kwetsbaarheid niet openbaar totdat wij de kwetsbaarheid gecorrigeerd hebben. Zie hieronder voor eventuele publicatie achteraf.
  • Misbruik de kwetsbaarheid niet door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken. Download ook niet meer data dan nodig is om de kwetsbaarheid aan te tonen.
  • Pas de volgende handelingen niet toe:
    • ​Plaats geen malware (virus, worm, Trojaans paard enz.).
    • Kopieer, wijzig of verwijder geen gegevens in een systeem.
    • Breng geen veranderingen aan in het systeem.
    • ​​Zoek niet herhaaldelijk toegang tot het systeem en deel de toegang niet met anderen.
    • Gebruik geen geautomatiseerde scantools.
    • Gebruik geen zogeheten “bruteforcen” van toegang tot systemen.
    • Gebruik geen denial-of-service of social engineering (phishing, vishing, spam, ...).
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering, distributed denial of service, clickjacking, spam of applicaties van derden.
  • Wis na de melding meteen alle gegevens die verkregen zijn via de kwetsbaarheid.
  • Voer geen handelingen uit die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel wat betreft beschikbaarheid, performantie toe, confidentialiteit en integriteit van de data.
Handelingen onder deze Responsible Disclosure Policy moeten beperkt blijven tot tests uitvoeren om potentiële kwetsbaarheden te identificeren, en deze informatie delen met de VLM.

Wilt u over de kwetsbaarheid publiceren nadat de kwetsbaarheid is verwijderd? Meld het ons minstens één maand voor de publicatie, zodat we daarop kunnen reageren. Ons identificeren, rechtstreeks of onrechtstreeks, in een publicatie kan enkel na ons uitdrukkelijk akkoord.

Wat wij beloven

  • ​Als u zich aan bovenstaande voorwaarden van de Responsible Disclosure Policy heeft gehouden en geen andere inbreuken hebt begaan, zullen wij geen juridische stappen tegen u ondernemen.
  • Wij reageren binnen een korte termijn, indien mogelijk binnen de 10 werkdagen, op uw melding.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonsgegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij streven ernaar om alle problemen binnen een korte termijn op te lossen.
Als u vragen hebt, aarzel dan niet om die te stellen via InfoSec@vlm.be​.

Bij twijfel over de toepasbaarheid van deze policy, vraagt u via dat e-mailadres om expliciete toestemming.

Wij behouden ons het recht voor om de inhoud van deze Policy op elk gewenst moment te wijzigen, of om de Policy te beëindigen.

Deze tekst is een afgeleid werk van “Responsible Disclosure” van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 3.0 licentie.

​​
Terug naar boven