Responsible disclosure policy

Achtergrond, toepassingsgebied & doel

Studio Plopsa hecht veel belang aan de beveiliging van haar data en informatiesystemen. Toch kan het, ondanks onze inspanningen en zorg, voorkomen dat er nog kwetsbaarheden bestaan die bijvoorbeeld door een ethische hacker of computerwetenschapper worden ontdekt.

Studio Plopsa heeft daarom gekozen voor dit beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook wel de ‘Responsible Disclosure Policy’ genoemd), zodat mensen die een kwetsbaarheid ontdekken ons daar op een veilige en vertrouwelijke manier over kunnen informeren.

Dit Responsible Disclosure-beleid is enkel van toepassing op systemen en toepassingen die eigendom zijn van Studio Plopsa. Tenzij uitdrukkelijk vermeld, vallen diensten van derden, leveranciers en partners buiten het toepassingsgebied. Het testen van dergelijke systemen is strikt verboden, tenzij Studio Plopsa hiervoor uitdrukkelijk toestemming heeft gegeven.

Beleidsvereisten

Een kwetsbaarheid melden
Responsible disclosure betekent dat kwetsbaarheden op een verantwoorde manier aan het licht worden gebracht, in gezamenlijk overleg tussen jou en Studio Plopsa. Als je een kwetsbaarheid ontdekt in een van onze systemen, moet je:

  1. Het probleem melden door de informatie zoals hieronder beschreven in te dienen via dit formulier.
    1. Stel je bericht op in het Engels.
    2. Leg het probleem uit en geef voldoende details zodat wij het probleem kunnen identificeren en/of reproduceren, om het zo snel mogelijk te kunnen oplossen.
    3. Verstrek extra informatie zoals IP-adressen, URL’s van het getroffen systeem, screenshots, enz.
  2. Je contactgegevens achterlaten zodat Studio Plopsa je indien nodig kan contacteren om samen naar een oplossing te werken. Vermeld minstens je naam, e-mailadres en/of telefoonnummer. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat we je kunnen bereiken als we bijkomende vragen hebben.

Do’s en don’ts die gelden

Maak geen informatie over het beveiligingsprobleem via andere kanalen bekend
Deel geen informatie over de kwetsbaarheid met derden, ook niet voor of na de melding aan Studio Plopsa of nadat het probleem is opgelost. Dergelijk gedrag wordt als onverantwoord beschouwd en kan leiden tot burgerrechtelijke procedures. Als je, nadat de kwetsbaarheid is verholpen, informatie wil publiceren, vragen we je dit minstens één maand op voorhand aan ons te melden en ons de kans te geven te reageren. Vermelding van Studio Plopsa in een publicatie is enkel toegestaan na onze uitdrukkelijke toestemming.

Maak geen misbruik van de gevonden kwetsbaarheid
Handelingen binnen dit Responsible Disclosure-beleid moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren en het delen van deze informatie met Studio Plopsa:

  • Voer geen acties uit die niet absoluut noodzakelijk zijn om een kwetsbaarheid vast te stellen of te melden.
  • Verzamel enkel de informatie die nodig is om ons op de hoogte te stellen.
  • Kopieer, verwijder, bekijk of wijzig geen gegevens van Studio Plopsa.

Voer geen acties uit die een impact kunnen hebben op de goede werking van onze systemen, zowel op vlak van beschikbaarheid en prestaties als van vertrouwelijkheid en integriteit van de data. Daarom is het bijvoorbeeld niet toegestaan om de volgende acties uit te voeren (niet-limitatieve lijst): plaatsen van malware; kopiëren, wijzigen of verwijderen van gegevens in een systeem; aanpassingen doen aan het systeem; brute-force technieken gebruiken om toegang te krijgen; (distributed) denial-of-service-aanvallen uitvoeren.

Gebruik geen aanvalsmethoden die de fysieke beveiliging van onze gebouwen en terreinen testen

Gebruik geen aanvalsmethoden die gericht zijn op onze mensen (bv. via phishing en andere social engineering-methoden)

Bij twijfel over de toepasselijkheid van dit beleid, neem eerst contact met ons op via bovenstaand contactformulier om uitdrukkelijke toestemming te vragen.

Wat wij beloven

  • We reageren binnen 10 werkdagen op je melding, met onze beoordeling van het rapport en een verwachte oplosdatum. We streven ernaar om problemen zo snel mogelijk op te lossen.
  • We contacteren je opnieuw indien we bijkomende informatie nodig hebben.
  • We houden je op de hoogte van de voortgang bij het oplossen van het gemelde probleem.
  • We bedanken je voor elke melding van een kwetsbaarheid, en als deze kwetsbaarheid nog niet bij ons bekend was, bieden we je aan vermeld te worden in onze Responsible Disclosure Hall of Fame. We voorzien geen andere vorm van vergoeding.
  • We behandelen je melding vertrouwelijk en delen je persoonsgegevens niet met derden zonder jouw toestemming, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen.

Verdere overwegingen

We behouden ons het recht voor om meldingen van lage kwaliteit te negeren, inclusief meldingen van kwetsbaarheden die verwaarloosbaar zijn qua risico.
Als je een kwetsbaarheid ontdekt, maar de regels voor responsible disclosure niet volgt zoals hierboven beschreven, behouden we ons het recht voor om actie of juridische stappen te ondernemen en/of de zaak aan de politie te melden.

We behouden ons het recht voor om de inhoud van dit beleid op elk moment te wijzigen of het beleid te beëindigen.

Juridische vrijwaring

Als je dit beleid naleeft en te goeder trouw handelt:

  • Zal Studio Plopsa geen juridische stappen tegen je ondernemen.
  • Wordt je onderzoek door ons beschouwd als geautoriseerd onder de toepasselijke wetgeving, waaronder de Computer Misuse Act, GDPR en relevante Belgische/EU-cybersecuritywetgeving.
  • Zullen we met je samenwerken om misverstanden op te helderen en problemen snel op te lossen.

Opmerking: juridische bescherming geldt niet voor handelingen die opzettelijk de vertrouwelijkheid van data, de beschikbaarheid van systemen of de operationele continuïteit in gevaar brengen. We behouden ons het recht voor om elke actie die niet in overeenstemming is met dit beleid te melden aan de lokale autoriteiten.

Als je dit beleid naleeft, wordt je onderzoek beschouwd als geautoriseerd onder de Belgische wetgeving en EU-richtlijnen, inclusief NIS2. Studio Plopsa zal geen juridische stappen tegen je ondernemen, noch je acties melden aan de politie, zolang je binnen de scope blijft en geen opzettelijke schade veroorzaakt.