Cevi beleid voor gecoördineerde bekendmaking van kwetsbaarheden - responsible disclosure

Organisatie

Benaming: Cevi NV

Adres/maatschappelijke zetel:
Bisdomplein 3
9000 GENT

Inschrijvingsnummer bij de Kruispuntbank van Ondernemingen (KBO): BE 0860.972.295

Vertegenwoordigd door: Jan Deprest, co-afgevaardigd bestuurder

Hierna de “organisatie” genoemd,

Toepassingsgebied van het beleid

Vanuit de bekommernis om het prestatievermogen en de beveiliging van onze netwerk- en informatiesystemen te verbeteren, hebben wij ervoor gekozen een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden in te voeren. Zo kunnen deelnemers met goede bedoelingen mogelijke kwetsbaarheden in de systemen, uitrusting en producten van onze organisatie opsporen of ons elke ontdekte informatie over een kwetsbaarheid bezorgen.

De toegang tot onze informaticasystemen en -uitrusting wordt evenwel uitsluitend verleend met de bedoeling de beveiliging ervan te verbeteren en ons te informeren over bestaande kwetsbaarheden, met strikte inachtneming van de andere voorwaarden bepaald in dit document.

Ons beleid betreft beveiligingskwetsbaarheden die kunnen worden misbruikt door derden of die de goede werking van onze producten, diensten, netwerk- of informatiesystemen kunnen verstoren.

De deelnemer is eveneens gemachtigd om informaticagegevens in ons informaticasysteem in te voeren of dit te proberen, met inachtneming van de doeleinden en voorwaarden van dit beleid.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van de Cevi Group. Bij elke twijfel vragen we om contact op te nemen om duidelijkheid te verkrijgen via dpo@cevi.group.

Het onderzoek van de deelnemer met betrekking tot informatiesystemen die niet uitdrukkelijk onder dit beleid vallen, kan leiden tot de gerechtelijke vervolging van deze deelnemer.

Wederzijdse verplichtingen van de partijen

Evenredigheid

De deelnemer verbindt zich ertoe om bij al zijn activiteiten het evenredigheidsbeginsel nauwgezet na te leven, dat wil zeggen de beschikbaarheid van de door het systeem geleverde diensten niet te verstoren en geen gebruik te maken van de kwetsbaarheid buiten wat strikt noodzakelijk is voor het aantonen van het beveiligingsprobleem. Zijn houding moet evenredig blijven: indien het probleem op kleine schaal is aangetoond, moet niet verder worden gegaan.

Ons beleid heeft niet tot doel de opzettelijke kennisneming van de inhoud van informatica-, communicatie- of persoonsgegevens mogelijk te maken en een dergelijke kennisneming mag slechts toevallig plaatsvinden in het kader van het opsporen van kwetsbaarheden.

Verboden acties

De volgende acties zijn niet toegestaan voor de deelnemer:

  • het kopiëren of wijzigen van gegevens van het informaticasysteem of het verwijderen van gegevens uit dat systeem;
  • het wijzigen van de parameters van het informaticasysteem;
  • de installatie van malware: virus, worm, Trojaans paard enz.;
  • “denial of service”-aanvallen (Distributed Denial Of Service – DDOS);
  • “social engineering”-aanvallen;
  • phishing-aanvallen;
  • aanvallen via ongewenste mails (spamming);
  • diefstal van paswoorden of “brute force”-aanvallen;
  • de installatie van een toestel dat het mogelijk maakt om niet voor het publiek toegankelijke communicatie of elektronische communicatie te onderscheppen, op te slaan of er kennis van te nemen;
  • het met opzet onderscheppen, opslaan of kennisnemen van niet voor het publiek toegankelijke communicatie of van elektronische communicatie;
  • het met opzet gebruiken, bijhouden, meedelen of verspreiden van de inhoud van niet voor het publiek toegankelijke communicatie of van gegevens van een informaticasysteem waarvan de deelnemer redelijkerwijze had moeten weten dat ze onwettig werden verkregen;

 

Indien de deelnemer hulp van een derde wenst om zijn onderzoek uit te voeren, dient hij zich ervan te vergewissen dat die derde vooraf kennisneemt van dit beleid en erin toestemt om, bij het verlenen van hulp, de voorwaarden van het beleid na te leven.

Vertrouwelijkheid

Zonder onze voorafgaande en uitdrukkelijke toestemming mag de deelnemer in geen geval informatie die hij heeft verzameld in het kader van ons beleid delen met derden of verspreiden onder derden.

Het is evenmin toegestaan informatica-, communicatie- of persoonsgegevens mee te delen aan derden of te verspreiden onder derden.

Indien de kwetsbaarheid ook andere organisaties in België kan treffen, kunnen de deelnemer of de verantwoordelijke organisatie dit niettemin melden aan het CCB (vulnerabilityreport@cert.be).

Uitvoering te goeder trouw

Onze organisatie verbindt zich ertoe dit beleid te goeder trouw uit te voeren en de deelnemer die de voorwaarden ervan naleeft noch burgerrechtelijk noch strafrechtelijk te vervolgen.

In hoofde van de deelnemer mag er geen sprake zijn van bedrieglijk opzet, het oogmerk om te schaden, of de wil om gebruik te maken van of schade te veroorzaken aan het bezochte systeem of aan de gegevens ervan. Dat geldt ook voor derde systemen in België of in het buitenland.

In geval van twijfel over bepaalde voorwaarden van ons beleid moet de deelnemer ons aanspreekpunt vooraf raadplegen en diens schriftelijke toestemming verkrijgen alvorens te handelen.

Verwerking van persoonsgegevens

Een CVDP heeft niet tot doel om intentioneel persoonsgegevens te verwerken. Het is echter wel mogelijk dat de deelnemer, zelfs toevallig, persoonsgegevens moet verwerken in het kader van zijn onderzoek naar kwetsbaarheden.

De verwerking van persoonsgegevens heeft een ruime betekenis en omvat met name het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van de loutere wil tot identificatie van de gegevensverwerker, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online identificator, IP-adres of nog, locatiegegevens).

Zo is het mogelijk dat de deelnemer op beperkte wijze persoonsgegevens verwerkt. Dat moet dan gebeuren conform de GDPR-regelgeving [1].

De deelnemer mag een beroep doen op een derde voor zijn onderzoek. Hij moet zich ervan vergewissen dat die derde vooraf kennisneemt van dit beleid en erin toestemt om, bij het verlenen van hulp, de voorwaarden van het beleid na te leven, met inbegrip van de vertrouwelijkheid en de uitvoering van passende beveiligingsmaatregelen. De deelnemer erkent dat hij volledig aansprakelijk blijft ten aanzien onze organisatie indien de derde op wie hij een beroep doet zijn verplichtingen inzake gegevensbescherming niet nakomt.

Indien de deelnemer persoonsgegevens die door onze organisatie worden opgeslagen en/of op enige andere wijze worden verwerkt, verwerkt op een manier die in strijd is met dit beleid of voor andere doeleinden dan het opsporen van mogelijke kwetsbaarheden in de systemen, producten en uitrusting van onze organisatie, erkent hij dat hij zal worden beschouwd als een verwerkingsverantwoordelijke en zal hij volledig aansprakelijk zijn voor de verwerking die hij uit dien hoofde heeft uitgevoerd.

Toekenning van een beloning

Als dank voor elke melding van een voor Cevi nog onbekend beveiligingsprobleem, bieden we de mogelijkheid aan om vermeld te worden in onze “Hall of Fame” op deze pagina.

[1] Europese Verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG Algemene verordening gegevensbescherming).

Hoe meld je beveiligingskwetsbaarheden?

Aanspreekpunt

U moet de ontdekte informatie uitsluitend naar het volgende e-mailadres sturen: dpo@cevi.group

Na contactname zal er een beveiligd communicatiemiddel afgesproken worden om onderling informatie over de vulnerability uit te wisselen.

U kunt eveneens contact opnemen met de dienst of de persoon die verantwoordelijk is voor het beleid, op het (de) volgende telefoonnummer(s): +32 9 264 07 01

Te bezorgen informatie

Stuur ons zo snel mogelijk na uw ontdekking de hieraan verbonden informatie met behulp van dit pdf-invuformulier.

Procedure

Ontdekking

Wanneer een deelnemer informatie over een mogelijke kwetsbaarheid ontdekt, moet hij voor zover mogelijk vooraf controles uitvoeren om het bestaan van de kwetsbaarheid te bevestigen en eventuele risico’s te identificeren.

Melding

De deelnemer verbindt zich ertoe om de technische informatie over de mogelijke kwetsbaarheden zo snel mogelijk te bezorgen aan het aanspreekpunt [of aan de coördinator (optioneel)] vermeld in punt 3 a) van dit beleid, met behulp van de vermelde beveiligde communicatiemiddelen.

Onze organisatie verbindt zich ertoe om, wanneer ze een melding ontvangt, de deelnemer zo snel mogelijk een bericht van ontvangst te sturen en de volgende stappen van de procedure.

Communicatie

De partijen verbinden zich ertoe alles in het werk te stellen om een permanente en doeltreffende communicatie te garanderen. De door de deelnemer verstrekte inlichtingen kunnen immers heel nuttig zijn om de kwetsbaarheid te identificeren en er een oplossing voor te vinden.

Indien na een redelijke termijn een reactie van een van de partijen van het CVDP uitblijft, kunnen de partijen een beroep doen op het Centrum voor Cybersecurity België (CCB) (vulnerabilityreport@cert.be) als (standaard-) coördinator.

Onderzoek

Tijdens de onderzoeksfase zal onze organisatie de omgeving en de gesignaleerde handelwijze reproduceren om de meegedeelde informatie te controleren.

Onze organisatie verbindt zich ertoe om de deelnemer regelmatig op de hoogte te houden van de resultaten van het onderzoek en van het gevolg dat aan zijn melding wordt gegeven.

Tijdens deze procedure zullen de partijen ervoor zorgen dat ze de link leggen met gelijkaardige of aanverwante meldingen, dat ze het risico en de ernst van de kwetsbaarheid beoordelen en dat ze eventuele andere getroffen producten of systemen identificeren.

Ontwikkeling van een oplossing

Het bekendmakingsbeleid heeft tot doel de ontwikkeling van een oplossing mogelijk te maken om de kwetsbaarheid van het informaticasysteem weg te werken vooraleer schade wordt aangericht.

Rekening houdend met de stand van de techniek, de uitvoeringskosten, de ernst van de risico’s voor de gebruikers en de technische beperkingen zal onze organisatie proberen om uiterlijk binnen de 90 kalenderdagen een oplossing te ontwikkelen.

In deze fase verbinden onze organisatie en haar partners zich ertoe enerzijds positieve testen uit te voeren om na te gaan of de oplossing correct werkt en anderzijds negatieve testen om er zeker van te zijn dat de oplossing de goede werking van de andere bestaande functionaliteiten niet verstoort.

Eventuele openbare bekendmaking

Onze organisatie zal, in overleg met de deelnemer, beslissen op welke wijze het bestaan van de kwetsbaarheid eventueel openbaar wordt gemaakt. Deze openbare bekendmaking mag ten vroegste tegelijk met de toepassing van een oplossing en de verspreiding van een beveiligingsbericht voor de gebruikers plaatsvinden.

Indien een kwetsbaarheid ook andere organisaties treft, moet de verantwoordelijke organisatie dit in ieder geval melden aan het Centrum voor Cybersecurity België (vulnerabilityreport@cert.be), zelfs als ze niet wil dat de kwetsbaarheid openbaar wordt gemaakt. 

Onze organisatie verbindt zich er eveneens toe opmerkingen van gebruikers over de toepassing van de oplossing te verzamelen en de nodige corrigerende maatregelen te nemen om eventuele problemen veroorzaakt door de oplossing te regelen, onder meer inzake compatibiliteit met andere producten of diensten.

Wall of fame