Skip to content

Beleid met betrekking tot het melden van kwetsbaarheden door externe partijen

Dit beleid is van toepassing op alle personen die technische kwetsbaarheden willen melden met betrekking tot alle producten en diensten die door Athumi aangeboden worden.

Waarover gaat het?

Een kwetsbaarheid (vulnerability) is een technische of menselijke zwakte of gebrek waar één of meerdere dreigingen gebruik van kunnen maken en die kan leiden tot ongeautoriseerde toegang, wijziging of verwijdering van informatie en gegevens.

Athumi hecht veel belang aan de veiligheid van de informatie en systemen die we beheren en met onze klanten delen. Waar mogelijk neemt Athumi passende technische en organisatorische maatregelen, overeenkomstig en dit in lijn met het Athumi-informatieveiligheidsbeleid dat in lijn is met het Informatie Classificatie Raamwerk van de Vlaamse Overheid en de daarbij horende minimale maatregelen.

Hoewel we heel veel aandacht en zorg besteden aan de beveiliging van onze systemen, kan het zijn dat er toch een kwetsbaarheid is. Wanneer je zo’n kwetsbaarheid in één van onze systemen hebt gevonden, dan horen wij dit graag zodat wij zo snel mogelijk gepaste maatregelen kunnen nemen. Dit beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’), maakt het mogelijk dat je ons informeert wanneer je een kwetsbaarheid ontdekt.

Wanneer je een kwetsbaarheid ontdekt

Meld dit dan zo snel mogelijk aan security@athumi.eu en voorzie in je melding:

  • URL of IP-adres waarop je de kwetsbaarheid hebt ontdekt, een omschrijving van wat je hebt vastgesteld, liefst met een beschrijving hoe je tot die vaststelling bent gekomen zodat wij dit kunnen reproduceren.
  • Je contactgegevens (minstens: naam, e-mailadres, telefoonnummer) zodat we je kunnen bereiken voor verdere vraagstelling.

Help dan onze dienstverlening en systemen te beschermen door:

  • je ethisch correct te gedragen en op geen enkele manier de werking van onze systemen negatief te beïnvloeden door de technieken die je toepast en de tools die je gebruikt. Het niet respecteren hiervan kunnen we niet tolereren.
  • de kwetsbaarheid niet zelf te misbruiken (vb. eventuele toegang misbruiken om extra data te downloaden, DDoS, spam, social engineering aanvallen, etc.) en eventueel per ongeluk ontvangen gegevens te verwijderen in overleg met Athumi.
  • zelf geen brute force, DDoS, spam, social engineering, of andere aanvalstechnieken actief te gebruiken met de bedoeling om kwetsbaarheden te detecteren.
  • de kwetsbaarheid niet met anderen te delen en als vertrouwelijk te behandelen tot de kwetsbaarheid is verholpen.
  • er bij het melden van kwetsbaarheden in componenten van derde partijen rekening mee te houden dat wanneer dit om gekende kwetsbaarheden gaat, wij deze intern opvolgen en prioriteren op basis van de CVSS-score van de kwetsbaarheid en het daaraan eventueel gekoppelde risico voor Athumi.
  • te bevestigen dat je de inhoud van dit document zal respecteren.

Dan garanderen wij

  • je melding vertrouwelijk te behandelen en de door jou gedeelde persoonsgegevens vertrouwelijk te behandelen.
  • te reageren en je te betrekken in de beoordeling en oplossing van de kwetsbaarheid en je hierover te informeren.
  • geen juridische actie tegen je te ondernemen.

Opmerking

Athumi zal je op geen enkele manier financieel vergoeden voor het melden van kwetsbaarheden. Wel zullen we je vermelden in onze “Security Hall of Fame”.

Security Hall of Fame

We zullen hier de personen oplijsten die ons geholpen hebben met het melden van kwetsbaarheden.
_

Dit is versie 1.0 van dit document.

Blijf verbonden met Athumi