Bij Core ICT vinden we de beveiliging van onze systemen, is het altijd mogelijk dat er een kwestbaarheid is. Als u een kwetsbaarheid of beveiligingslek hebt gevonden in één van onze systemen, fysiek of digitaal, laat het ons weten zodat we zo snel mogelijk beveiligingsmaatregelen kunnen nemen. We willen graag met je samenwerken om onze systemen, onze klanten en ons ecosysteem beter te beschermen.
1. Werkingsgebied
Dit beleid is van toepassing op alle belanghebbenden en stakeholders van Core ICT, voor elk van de Core ICT diensten en platformen.
2. Publiek
Wij vragen de medewerking van de doelgroepen in het toepassingsgebied, met inbegrip van, maar niet beperkt tot:
– Bezoekers op Core ICT terreinen
– Medewerkers en personeel
– Klanten
– Contractanten en partners
– Prospects
– …
3. Protocol
Wat we je vragen te doen:
Als je een kwetsbaarheid ontdekt, vragen we je het volgende te doen: geef voldoende informatie om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor complexere kwetsbaarheden kan meer nodig zijn;
Versleutel uw bevindingen met onze veilige tool op https://safe.syntory.com om te voorkomen dat de informatie in verkeerde handen valt;
E-mail uw bevindingen naar [email protected]
Wat we u niet vragen te doen:
Wanneer een kwetsbaarheid is ontdekt, onthoudt u zich dan van: misbruik maken van het probleem door bijvoorbeeld meer gegevens te downloaden dan nodig is om het lek aan te tonen of gegevens van derden te bekijken, verwijderen of wijzigen;
Het probleem met anderen te delen voordat het is opgelost. Wis ook alle vertrouwelijke gegevens die door het lek zijn verkregen onmiddellijk nadat het lek is gedicht;
Aanvallen op fysieke beveiliging, social engineering, gedistribueerde denial of service, spam of toepassingen van derden en het beschadigen van onze platforms op welke manier dan ook, of het beïnvloeden van prestaties van deze systemen.
Wees u ervan bewust:
Er is een wettelijk protocol dat gevolgd moet worden (zie de wettelijke referentie hieronder). Elke illegale toegang to onze systemen kan en zal maximaal worden vervolgd als dit wettelijke protocol wordt genegeerd.
Wat u van ons kan verwachten:
We zullen zo snel mogelijk reageren op je melding, maximaal binnen 5 werkdagen, met onze eerste beoordeling van de melding en een verwachte datum voor het oplossen ervan;
Als je hebt voldaan aan de bovenstaande voorwaarden en de wettelijke voorwaarden door cyberlaw, zullen we geen juridische stappen tegen u ondernemen met betrekking tot de melding;
Wij zullen uw melding vertrouwelijk behandelen en uw persoonlijke gegevens niet zonder uw toestemming delen met derden, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting;
Indien gewenst houden wij u op de hoogte van de voortgang van het oplossen van het probleem;
Bij het melden van de het gemelde probleem zullen wij, indien u dat wenst, uw naam als ontdekker vermelden.
Publicatie van de kwetsbaarheid of oplossing:
Alleen Core ICT beslist over eventuele openbare of offciële communicatie en publicatie over ontdekte kwestbaarheden. Geen enkele publicatie is toegestaan zonder toestemming en validatie door Core ICT.
4. Hoffelijkheid
Dit beleid voor verantwoorde bekendmaking is gebaseerd op het open-sourceproject op basiss van de Creative Commons v3-licentie: https://responsibledisclosure.nl/
5. Wettelijke referentie
Houd er rekening mee dat het melden van kwetsbaarheden gebonden is aan wetgeving.
Aangezien het Core ICT HQ in België is gevestigd, is de Belgische wet op het openbaar maken van kwetsbaarheden van toepassing.
In het kort (citaat van de website van CCB):
U moet zich strikt beperken tot de feiten die nodig zijn om een kwetsbaarheid te melden. U mag dus niet verder gaan dat wat nodig en evenredig is om het bestaan van de kwetsbaarheid te verifiëren;
U moet handelen zonder frauduleuze bedoelingen of opzet om schade te berokkenen;
U moet zo snel mogelijk na de ontdekking van de mogelijke kwetsbaarheid (en ten laatste op het ogenblik van de melding aan het nationale CSIRT) de organisatie die verantwoordelijk is voor het systeem, het proces of de controle op de hoogte brengen van de kwetsbaarheid;
U moet de ontdekte kwetsbaarheid zo snel mogelijk schriftelijk en volgens de in punt D van het CCB-beleid beschreven procedures melden aan het CCB (als er geen CVDP is);
U mag informatie over de ontdekte kwetsbaarheid niet openbaar maken zonder toestemming van het nationale CSIRT (CCB).
Meer informatie: https://ccb.belgium.be/en/vulnerability-reporting-ccb
6. Agemene bedrijfsinformatie
Website: https://www.core-ict.be
Contact: https://www.core-ict.be/contact/
BTW: BE 0632.730.604 (België)
Core ICT hoofdkantoor
Sint Jobsesteenweg 102
B-2930 Brasschaat
België
Telefoon:+3233693800