Verantwoordelijke openbaarmaking
Verantwoordelijke openbaarmaking
De veiligheid van onze klanten en onze informatiesystemen staat centraal in onze prioriteiten. Zo stellen wij elke dag alles in het werk om een zo hoog mogelijk veiligheidsniveau te verzekeren, zodat de vertrouwelijkheid van de gegevens altijd gewaarborgd is. Toch is het niet onmogelijk dat kwetsbaarheden aan onze waakzaamheid ontsnappen. Daarom stellen wij het op prijs dat u met ons samenwerkt door deel te nemen aan dit beleid van vrijwillige openbaarmaking in het geval dat u een kwetsbaarheid op onze sites of in onze systemen ontdekt of vermoedt. Zo erkennen wij dat het werk van de onderzoeksgemeenschap op het gebied van cyberbeveiliging belangrijk is om de veiligheid en beveiliging van alle mensen, en in het bijzonder van onze klanten, te blijven waarborgen, en hopen wij een open partnerschap met alle onderzoekers te bevorderen.
Daartoe volgen hier enkele eenvoudige regels die ons in staat zullen stellen uw bericht zo goed mogelijk op te volgen. Deze regels zijn van toepassing met ingang van 01/03/2021.
Wat kunt u testen?
Vermoedelijke kwetsbaarheden op veiligheidsvlak die voor illegale doeleinden kunnen worden misbruikt en die zich voordoen:
- op onze sites (www.voo.be; myvoo.be; zuny.be, …);
- op het vlak van onze producten en diensten, IT-systemen en netwerken;
Hoewel VOO SA nog een aantal andere diensten aanbiedt, verzoeken wij alle onderzoekers op het gebied van cyberbeveiliging om alleen kwetsbaarheidsrapporten in te dienen voor de aangegeven lijst van producten en diensten. Wij zijn van plan om de reikwijdte van dit beleid uit te breiden naarmate wij onze capaciteiten en ervaring op dit gebied versterken.
Wij verbinden ons ertoe geen vervolging in te stellen tegen personen die de in dit document beschreven procedures naleven en:
- systemen testen / onderzoek verrichten zonder dat deze activiteiten schade berokkenen aan VOO of zijn klanten.
- kwetsbaarheidstests uitvoeren in het kader van ons programma voor de openbaarmaking van kwetsbaarheden en daarbij toegang tot andere middelen van VOO vermijden.
- onderzoek verrichten op de producten zonder dat dit gevolgen heeft voor de klanten van VOO, of door de toestemming van de klanten te krijgen alvorens tests uit te voeren op hun apparaten / software enz.
- de wetten naleven die in België en in hun rechtsgebied van kracht zijn.
- zich ervan onthouden de details van de kwetsbaarheid openbaar te maken aan het publiek of aan derden vóór het verstrijken van een onderling overeengekomen termijn of vóór het einde van het herstelproces.
Hoe kan ik een kwetsbaarheid melden?
Stuur ons uw opmerkingen uitsluitend via het volgende e-mailadres: [email protected]
Wij aanvaarden de rapporten in drie talen: Nederlands, Frans of Engels.
Indien het gaat om gevoelige informatie die u liever in gecodeerde vorm verstuurt, gebruik dan GPG en codeer uw bericht met de volgende publieke sleutel:
Key store : https://keys.openpgp.org/
Fingerprint: 32B1 DFBE 48E6 84CB 913D 0C0C B7BA 5238 F41E 65DB
Blijft u liever anoniem? Geen probleem, maar we vragen u wel om een anonieme mailbox te vermelden (Gmail, Hotmail, Yahoo enz.), zodat we contact met u kunnen opnemen als we nog vragen willen stellen of feedback willen vragen.
Bug Bounty Programma
Als u een ethische hacker of beveiligingsonderzoeker bent, kunt u helpen de activa van VOO te beschermen en bug bounty-beloningen verdienen door deel te nemen.
Het VOO bug bounty programma wordt georganiseerd in samenwerking met https://www.intigrity.com.
Criteria inzake voorkeur, prioritering en aanvaarding
Wij zullen de volgende criteria hanteren om de meldingen te prioriteren en te sorteren.
Geef uw melding alle kansen:
- Een rapport dat in correct Engels/Frans/Nederlands is opgesteld, maakt meer kans om te worden onderzocht.
- Een rapport dat een ‘proof of concept’ bevat, zal meer kans maken om prioriteit te krijgen.
- Een rapport dat alleen ‘dumps’ of andere geautomatiseerde outputs bevat, zal niet prioritair onderzocht worden.
- Een rapport dat producten en/of diensten omvat die niet onder het bovengenoemde toepassingsgebied vallen, zal niet in aanmerking worden genomen.
- De oorsprong van de kwetsbaarheid, de manier waarop u de kwetsbaarheid hebt vastgesteld, de geraamde impact op de klanten van VOO en eventuele opmerkingen.
- De gewenste manier van contact.
Stuur ons geen kwetsbaarheidsmelding in het geval van:
- Opmerkingen of vragen met betrekking tot een probleem in verband met de levering van onze producten of diensten. U kunt voor dit soort vragen rechtstreeks contact opnemen met onze klantendienst.
- Technische aanvallen (DDoS, brute force, password guessing/spraying enz.). Als u het slachtoffer bent van een van deze aanvallen vanuit onze netwerken, kunt u rechtstreeks contact met ons opnemen via [email protected].
- Spam, phishing-aanvallen, frauduleuze e-mails, … U kunt voor dit soort problemen rechtstreeks contact opnemen met [email protected].
If you are an ethical hacker or security researcher, you can help protect VOO’s assets and earn bug bounty rewards by taking part.
The VOO bug bounty programme is organised in cooperation with
Onze verbintenissen:
- Een snel antwoord op uw e-mail (binnen de 5 werkdagen).
- Na sortering, een voorlopige planning voor de verwijdering of beperking van de kwetsbaarheid.
- Een open en constructieve dialoog.
- Een melding wanneer de kwetsbaarheidsanalyse is voltooid.
Indien de aanpak die u aanbeveelt voor de oplossing van een kwetsbaarheid of andere problemen niet door VOO wordt gedeeld, kan VOO een beroep doen op een neutrale derde (zoals CERT-BE of het BIPT) om de beste manier te helpen bepalen om de kwetsbaarheid te beheren.