Responsible Disclosure Policy

Bij Sibelga staat de veiligheid van onze informatie en systemen voorop. Heb je een kwetsbaarheid ontdekt? Laat het ons weten zodat we snel kunnen ingrijpen. Daarom hebben we een beleid voor gecoördineerde kwetsbaarheidsmelding, het zogenaamde ‘Responsible Disclosure Policy’.

Uitgelegd

Hoewel we veel moeite steken in het veilig houden van onze systemen, kan het zijn dat een kwetsbaarheid niet is opgemerkt. Vind je een (potentiële) kwetsbaarheid die problemen of datalekken kan veroorzaken, meld dit dan aan ons. Zo kunnen we onze klanten en systemen beter beveiligen.

Wat wij je vragen

Wanneer je een kwetsbaarheid wenst te melden, vragen wij jou het volgende:

  • Deel je bevindingen door een e-mail te sturen, als je screenshots of een formele write-up wil delen kan je deze meesturen in PDF-formaat.
  • Maak geen misbruik van de kwetsbaarheid of het probleem dat je hebt gevonden. Download of verwijder bijvoorbeeld geen data en pas nooit gegevens van anderen aan.
  • Maak het probleem niet bekend aan anderen totdat dit verholpen is. We verzoeken je ook om geen informatie te publiceren totdat dit door ons gelezen en geverifieerd is, op deze manier kunnen wij helpen voorkomen dat er per ongeluk gevoelige informatie vrijgegeven wordt.
  • Zorg voor accurate informatie in je rapportage: details van de bevinding, risicoclassificatie, stappen om te reproduceren en mogelijke oplossing/best-practices.
  • Ga niet onnodig berichten sturen en adresseer geen groepen mensen met bijvoorbeeld verzoeken om updates of het vragen om beloningen.
  • Na sluiten van de bevinding, dien je alle gevoelige informatie welke verkregen is tijdens het testen te verwijderen.

Wat wij beloven

Als je je aan de bovenstaande voorwaarden van onze policy hebt gehouden, beloven wij om:

  • je rapportage te analyseren en uiterlijk binnen 5 werkdagen te reageren.
  • geen juridische stappen te ondernemen wanneer je het disclosure proces volgt. 
  • je rapport met strikte geheimhouding te behandelen en je gegevens en rapport niet met een derde partij te delen behalve wanneer we daartoe wettelijk verplicht zijn.
  • je op de hoogte te houden van de voortgang van het verhelpen van het probleem.

We hebben momenteel geen beloningsprogramma voor het melden van kwetsbaarheden.

Definitie van kwetsbaarheid

Sibelga beschouwt een beveiligingskwetsbaarheid een kwetsbaarheid in onze websites of infrastructuur welke confidentialiteit, integriteit en/of beschikbaarheid van deze systemen aantast. Omdat dit een brede definitie is begrijpen wij dat dit vragen kan oproepen over wat nu wel en niet beschouwd wordt als een kwetsbaarheid voor Sibelga. 

Wat wordt NIET beschouwd als kwetsbaarheid?

  • Auto-completion in- of uitgeschakeld op formulieren.
  • Missende cookie attributen op niet-kritieke cookies, bijvoorbeeld missende HTTP-only flags op analytics cookies.
  •  Aanwezigheid of afwezigheid van HTTP-headers, zoals: X-Frame-Options, CSP, no-sniff, etc. Tenzij dit onderdeel is van een aanbeveling op een andere kwetsbaarheid.
  • DNS dangling and subdomain take-over.
  • Bepaalde laag-risico kwetsbaarheden, of kwetsbaarheden die al bekend zijn. Deze zijn op zichzelf wel kwetsbaarheden, maar worden al verholpen door SIBELGA of zijn een geaccepteerd risico.
  • Kwetsbaarheden van hetzelfde type, welke los gerapporteerd worden. Bijvoorbeeld XSS in meerdere parameters of unvalidated redirects op verschillende locaties. Deze worden gezien als éénzelfde kwetsbaarheid.

Wat wordt WEL beschouwd als kwetsbaarheid?

  • Ongeautoriseerd toegang tot klantgegevens, inclusief maar niet beperkt tot namen, orderinformatie en verdere persoonlijke gegevens.
  • Remote Code Execution (RCE).
  • Server-Side Request Forgery (SSRF).
  • Cross-site Scripting (XSS).
  • Cross-site Request Forgery (CSRF).
  • Injection aanvallen, zoals SQL Injection (SQLi).
  • XML External Entity Attacks (XXE).
  • Access Control kwetsbaarheden (Insecure Direct Object Reference kwetsbaarheden, etc.).
  • Path/Directory traversal kwetsbaarheden.

Als je twijfelt, aarzel dan niet om een (potentiële) kwetsbaarheid aan ons team te melden.

Kwetsbaarheid melden 

Wanneer je iets hebt gevonden waarvan je denkt dat wij dit als kwetsbaarheid beschouwen, of wanneer je iets anders onder onze aandacht wil brengen vragen wij je om dit te melden via e-mail. Andere mogelijkheden worden momenteel onderzocht.
Gelieve ons te contacteren op: responsibledisclosure@sibelga.be

Privacy 

Graag meer informatie over hoe wij omgaan met je persoonlijke gegevens? Raadpleeg onze privacy policy