Verantwortungsvolle offenlegung
Verantwortungsvolle Offenlegung
Die Sicherheit unserer Kunden und unserer Informationssysteme hat für uns absoluten Vorrang. So arbeiten wir jeden Tag daran, das bestmögliche Sicherheitsniveau zu gewährleisten, damit die Vertraulichkeit der Daten stets gewahrt bleibt. Dennoch ist es nicht ausgeschlossen, dass Schwachstellen unserer Wachsamkeit entgehen. Deshalb danken wir Ihnen für die Zusammenarbeit mit uns, indem Sie an dieser freiwilligen Offenlegungspolitik teilhaben, falls Sie eine Schwachstelle auf unseren Websites oder in unseren Systemen entdecken oder vermuten. Auf diese Weise erkennen wir an, dass die Arbeit der Gemeinschaft der Cybersicherheits-Forscher wichtig ist, um die Sicherheit aller und insbesondere die unserer Kunden weiterhin zu gewährleisten, und wir hoffen, eine offene Partnerschaft mit allen Forschern zu pflegen.
Zu diesem Zweck sind hier ein paar einfache Regeln zu beachten, die es uns ermöglichen, Ihre Nachricht bestmöglich zu bearbeiten. Diese Regeln gelten ab dem 01/03/2021
Was können Sie testen?
Verdächtige Sicherheitslücken, die für illegale Zwecke ausgenutzt werden könnten und die auftreten:
- auf unseren Websites (www.voo.be; myvoo.be; zuny.be usw.);
- in unseren Produkten und Dienstleistungen, IT-Systemen und Netzwerken;
Obwohl VOO SA eine Reihe anderer Dienste betreibt, bitten wir alle Cybersicherheits-Forscher, Schwachstellenberichte nur für die Liste der angegebenen Produkte und Dienste einzureichen. Wir beabsichtigen, den Geltungsbereich dieser Richtlinie zu erweitern, wenn wir unsere Kapazitäten und Erfahrungen in diesem Bereich ausbauen.
Wir verpflichten uns zum Verzicht auf die strafrechtliche Verfolgung von Personen, die sich an das in diesem Dokument beschriebene Verfahren halten und:
- Systeme testen / Forschung betreiben, ohne dass diese Aktivitäten VOO oder ihren Kunden schaden.
- Schwachstellentests im Rahmen unseres Programms zur Aufdeckung von Schwachstellen durchführen und dabei den Zugriff auf andere VOO-Ressourcen vermeiden.
- Forschung an Produkten durchführen, ohne dass die Kunden von VOO davon betroffen sind, oder die Genehmigung der Kunden einholen, bevor sie Tests an ihren Geräten/Software usw. durchführen.
- die in Belgien und in ihrer Gerichtsbarkeit geltenden Gesetze einhalten.
- vor Ablauf eines gemeinsam vereinbarten Zeitraums oder dem Ende des Behebungsprozesses keine Details der Sicherheitslücke an die Öffentlichkeit oder an Dritte weitergeben.
Wie meldet man eine Sicherheitslücke?
Bitte teilen Sie uns Ihre Kommentare ausscstagingeßlich über folgende E-Mail Adresse mit: [email protected]
Wir akzeptieren Berichte in drei Sprachen: Französisch, Niederländisch oder Englisch.
Wenn es sich um sensible Informationen handelt, die Sie lieber verschlüsselt senden möchten, verwenden Sie GPG, indem Sie Ihre Nachricht mit dem folgenden öffentlichen Schlüssel verschlüsseln:
Key Store: https://keys.openpgp.org/
Fingerprint: 32B1 DFBE 48E6 84CB 913D 0C0C B7BA 5238 F41E 65DB
Sie möchten lieber anonym bleiben? Kein Problem, wir bitten Sie jedoch, ein anonymes E-Mail-Postfach (Gmail, Hotmail, Yahoo, usw.) anzugeben, damit wir Sie kontaktieren können, falls wir weitere Fragen oder Rückmeldungen haben.
Bug Bounty Programm
Wenn Sie ein ethischer Hacker oder Sicherheitsforscher sind, können Sie dabei helfen, die Vermögenswerte von VOO zu schützen und durch Ihre Teilnahme Bug-Bounty-Belohnungen verdienen.
Das Bug Bounty-Programm von VOO wird in Zusammenarbeit mit https://www.intigriti.com organisiert.
Präferenz-, Priorisierungs- und Akzeptanzkriterien
Wir werden die Beiträge nach den folgenden Kriterien priorisieren und sortieren.
Geben Sie Ihrer Benachrichtigung alle Chancen:
- Ein in korrektem Englisch/Französisch/Niederländisch verfasster Bericht wird mit größerer Wahrscheinlichkeit geprüft.
- Ein Bericht, der einen Konzeptnachweis („Proof of Concept“) enthält, wird eher priorisiert.
- Ein Bericht, der nur „Dumps“ oder andere automatische Tool-Ausgaben enthält, wird bei der Überprüfung nicht priorisiert.
- Ein Bericht, der Produkte und/oder Dienstleistungen enthält, die nicht im oben genannten Umfang enthalten sind, wird nicht berücksichtigt.
- Der Ursprung der Schwachstelle, die Art und Weise, wie Sie sie identifiziert haben, ihre geschätzten Auswirkungen auf die Kunden von VOO und eventuelle Kommentare.
- Die gewünschte Art der Kontaktaufnahme.
Schicken Sie uns in folgenden Fällen keine Schwachstellenmeldung:
- Kommentare oder Fragen zu einem Problem mit der Bereitstellung unserer Produkte oder Dienstleistungen. Sie können sich mit solchen Anfragen direkt an unseren Kundenservice wenden.
- Technische Angriffe (DDoS, Brute-Force, Passwortraten/Spraying usw.) Wenn Sie Opfer eines dieser Angriffe aus unseren Netzen sind, können Sie sich direkt an die Adresse [email protected] wenden.
- Spam, Phishing-Angriffe, betrügerische E-Mails… Mit solchen Anfragen können Sie sich direkt an [email protected] wenden.
Unsere Verpflichtungen:
- Eine schnelle Antwort auf Ihre E-Mail (innerhalb von 5 Arbeitstagen).
- Nach Auswahl ein voraussichtlicher Zeitplan für die Beseitigung oder Minderung der Schwachstelle.
- Ein offener und konstruktiver Dialog.
- Eine Benachrichtigung, sobald die Analyse der Schwachstelle abgeschlossen ist
Wenn der Ansatz, den Sie zur Behebung einer Schwachstelle oder anderer Probleme befürworten, von VOO nicht geteilt wird, kann VOO einen neutralen Dritten (z. B. CERT-BE oder BIPT) hinzuziehen, um den besten Weg zur Behebung der Schwachstelle zu finden.