Proximus beleid voor de melding van kwetsbaarheden

De melder verbindt zich ertoe strikt het principe van proportionaliteit na te leven bij al zijn activiteiten, dat wil zeggen de beschikbaarheid van de door het systeem geleverde diensten niet te verstoren en de kwetsbaarheid niet verder te exploiteren dan strikt noodzakelijk is om de beveiligingsfout aan te tonen. Hun benadering moet proportioneel blijven: als het veiligheidsprobleem op kleine schaal is aangetoond, mag er geen verdere actie worden ondernomen.

Het doel van ons beleid is niet om opzettelijke kennis te nemen van de inhoud van gegevens, communicatiegegevens of persoonlijke gegevens, en dergelijke kennis mag alleen incidenteel plaatsvinden in het kader van het zoeken naar kwetsbaarheden.

• Dien uw rapporten in het Engels in.
• Wees voorzichtig en terughoudend met betrekking tot persoonsgegevens en neem niet opzettelijk deel aan aanvallen op derden, social engineering, denial-of-service-aanvallen, fysieke aanvallen op eigendommen van Proximus, spam of ander hinderlijk gedrag jegens andere gebruikers.
• Geef een Proof-of-Concept of voldoende informatie om de kwetsbaarheid te reproduceren, zodat deze kan worden geverifieerd, gereproduceerd en mogelijke oplossingen kunnen worden geïdentificeerd. Over het algemeen volstaat de identificatie van het kwetsbare doelwit, een beschrijving van de kwetsbaarheid en de uitgevoerde handelingen om de kwetsbaarheid te exploiteren, maar in het geval van complexe kwetsbaarheden kunnen meer details en informatie nodig zijn.
• Misbruik de kwetsbaarheid niet door verstoring te veroorzaken met uw acties.
• Deel geen informatie over de kwetsbaarheid met anderen totdat deze is opgelost in overeenstemming met de tijdlijnen van het Proximus Responsible Disclosure-beleid.
• Dien één kwetsbaarheid per rapport in, tenzij u kwetsbaarheden moet combineren om de impact aan te tonen.

• Vermoedelijke beveiligingskwetsbaarheden die kunnen worden misbruikt voor illegale doeleinden en die zich voordoen:
• Op onze sites (www.proximus.com; www.proximus.be; www.scarlet.be; www.tango.lu; www.bics.com; www.telindus.com & www.skynet.be)
• Binnen onze producten en diensten, IT-systemen en netwerken.
• Systemen die afhankelijk zijn van derden zijn uitgesloten van de reikwijdte van dit beleid, tenzij de derde partij expliciet instemt met deze regels.

Houd bij het rapporteren van kwetsbaarheden rekening met (1) aanvalsscenario / exploitatie en (2) het beveiligingsimpact van de bug.

De volgende acties zijn niet toegestaan:

• kopiëren of wijzigen van gegevens uit het IT-systeem of het verwijderen van gegevens uit dat systeem;
• het wijzigen van de IT-systeemparameters;
• het installeren van malware: virussen, wormen, Trojaanse paarden, enz.;
• Distributed Denial of Service (DDOS)-aanvallen;
• social engineering-aanvallen;
• phishing-aanvallen;
• spammen;
• wachtwoorden stelen of brute force-aanvallen;
• een apparaat installeren om (elektronische) communicatie te onderscheppen, op te slaan of te leren kennen die niet openbaar toegankelijk is;
• het opzettelijk onderscheppen, opslaan of ontvangen van niet-openbare communicatie of elektronische communicatie;
• het opzettelijke gebruik, onderhoud, communicatie of verspreiding van de inhoud van niet-openbare communicatie of gegevens van een IT-systeem waarvan de melder redelijkerwijs had moeten weten dat deze onrechtmatig waren verkregen.

• Behandel ingediende rapporten vertrouwelijk en deel de persoonlijke gegevens van de melder niet met derden zonder hun toestemming, tenzij dit nodig is om te voldoen aan wettelijke verplichtingen.
• Proximus waardeert uw hulp bij het optimaliseren van de beveiliging van zijn systemen en netwerken en neemt binnen 2 werkdagen contact met u op. Het spreekt voor zich dat we u kunnen bereiken via het e-mailadres of andere contactgegevens die u heeft achtergelaten. We houden u ook op de hoogte van verdere ontwikkelingen.
• Proximus beheert geen bug bounty of hall of fame-programma.

De verwerking van persoonsgegevens is breed en omvat de opslag, wijziging, opvraging, raadpleging, het gebruik of de openbaarmaking van informatie die betrekking kan hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Het "identificeerbare" karakter van de persoon is niet afhankelijk van de eenvoudige wil van de gegevensverwerker om de persoon te identificeren, maar van de mogelijkheid om de persoon direct of indirect te identificeren met behulp van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online identifier, IP-adres of locatiegegevens).

Zorg ervoor dat u voldoet aan uw verplichtingen met betrekking tot de bescherming van persoonsgegevens (AVG) als verwerkingsverantwoordelijke - bijvoorbeeld: naleving van de principes van noodzaak en proportionaliteit, implementatie van adequate beveiligingsmaatregelen.

U moet alle persoonsgegevens onmiddellijk verwijderen aan het einde van de meldingsprocedure of, in geval van een geschil of juridische procedure, aan het einde van de procedure als de persoonsgegevens in een dergelijke context relevant zouden zijn.

U garandeert dat u geen persoonsgegevens die onder dit beleid zijn verkregen of verwerkt, verder zult openbaar maken, gebruiken of misbruiken.

Als u persoonsgegevens, opgeslagen en/of anderszins verwerkt door Proximus, op een manier verwerkt die niet in overeenstemming is met dit beleid of voor andere doeleinden dan het onderzoeken van mogelijke kwetsbaarheden in de systemen, producten en apparatuur van Proximus, erkent u dat u als verwerkingsverantwoordelijke wordt beschouwd en volledige verantwoordelijkheid op zich neemt voor de verwerking die op deze manier wordt uitgevoerd.

Als u een ander type probleem wilt melden, volg dan: CSIRT RFC2350 Description version 1.9