! This version of Internet Explorer is not supported anymore !

We recommend to visit our website with another browser (Microsoft Edge, Chrome, Firefox, ...)

CVDP - coordinated vulnerability disclosure policy

- Versie december 2024 –

Inleiding

Bij Niko NV en haar gelieerde entiteiten (hierna “wij” of “ons”) vinden wij de veiligheid van onze informatie, producten en systemen erg belangrijk. Ondanks onze zorg voor de beveiliging ervan, kan het voorkomen dat er toch een kwetsbaarheid is.

Als u een kwetsbaarheid in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Daarom hebben wij gekozen voor een beleid van gecoördineerde bekendmaking van kwetsbaarheden (de “coordinated vulnerability disclosure policy”), zodat u ons kan informeren wanneer u een kwetsbaarheid ontdekt.

Deze coordinated vulnerability disclosure policy is van toepassing op al onze systemen en producten. Bij elke twijfel vragen we om contact op te nemen om duidelijkheid te verkrijgen via infosec@niko.eu.

1. Wat wij van u vragen

  • 1.1. Als u een kwetsbaarheid ontdekt in één van onze systemen, vragen wij u:
    • a) Uw bevindingen te mailen naar infosec@niko.eu. Versleutel uw bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt;
    • b) Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen;
    • c) Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen;
    • d) Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden; en
    • e) Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

2. Regels die u dient na te leven

  • 2.1. De volgende acties mogen niet uitgevoerd worden:
    • a) Het kopiëren of wijzigen van gegevens van het product of systeem of het verwijderen van gegevens uit dat systeem;
    • b) Het wijzigen van de parameters van het product of systeem;
    • c) Het installeren van malware: virussen, wormen, trojaanse paarden, enz.;
    • d) Distributed Denial of Service (DDOS) aanvallen;
    • e) Social engineering aanvallen, phishing aanvallen of spamming;
    • f) Het stelen van wachtwoorden of brute force aanvallen;
    • g) Het installeren van een apparaat om (elektronische) communicatie die niet voor het publiek toegankelijk is, te onderscheppen, opslaan of vernemen;
    • h) Het opzettelijk onderscheppen, opslaan of ontvangen van communicatie die niet voor het publiek toegankelijk is of van elektronische communicatie;
    • i) Het opzettelijk gebruiken, opslaan, communiceren of verspreiden van de inhoud van niet-publieke communicatie of van gegevens van een IT-systeem waarvan de deelnemer redelijkerwijs had moeten weten dat het onrechtmatig was verkregen.
  • 2.2. Daarnaast dienen de deelnemers:
    • a) De kwetsbaarheid niet openbaar te maken totdat wij de kwetsbaarheid hebben kunnen corrigeren. Zie hieronder voor eventuele publicatie achteraf;
    • b) Alle gegevens die zijn verkregen via de kwetsbaarheid meteen te wissen na de melding;
    • c) Geen handelingen uit te voeren die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel naar beschikbaarheid als naar performantie toe, maar ook naar confidentialiteit en integriteit van de data toe.

Handelingen onder deze coordinated vulnerability disclosure policy moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren, en het delen van deze informatie met ons.

Wenst u, na het verhelpen van de kwetsbaarheid, een publicatie hierover te verspreiden, dan verzoeken wij u om ons hiervan minimaal een maand voorafgaand aan de publicatie in kennis te stellen. Wij verzoeken u tevens om ons de gelegenheid te bieden om hierop te reageren. Het vermelden van één of meerdere van onze organisaties, direct of indirect, in een publicatie is uitsluitend toegestaan na onze uitdrukkelijke schriftelijke toestemming.

3. Wat wij beloven

  • a) Wij reageren binnen een korte termijn, indien mogelijk binnen de 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;
  • b) Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk;
  • c) Wij houden u op de hoogte van de voortgang van het oplossen van het probleem;
  • d) In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker; en
  • e) Als dank voor elke melding van een ons nog onbekend beveiligingsprobleem, bieden wij de mogelijkheid om vermeld te worden in onze “Hall Of Fame”;
  • f) Wij mogen ervoor kiezen om meldingen van lagere kwaliteit te negeren.

Indien u vragen zou hebben kan u deze richten aan infosec@niko.eu.