Security Vulnerability Disclosure Program

Security Vulnerability Disclosure Program

We doen ons uiterste best om de veilgheid van deze website en onze opgeleverde projecten te garanderen en op punt te stellen. Toch een beveiligingslek gevonden? Hier vind je terug hoe je dit aan ons kan melden.

Waarom hier rapporteren?

Onze projecten worden dagelijks in realistische scenario's en organisaties gebruikt, waardoor de impact van misbruik (ook) voor hen aanzienlijk kan zijn.

We willen hierdoor een beroep doen op jouw ethiek en vragen op een verantwoorde wijze om te gaan met de rapportering van deze problemen. Gelieve deze problemen dus niet te delen met anderen en volg in plaats daarvan onderstaande stappen.

Over welke software gaat het?

Het gaat over deze website en andere projecten die we - volledig of gedeeltelijk - ontwikkelen en onderhouden. Gewoonlijk is dit het geval als je ons logo of onze naam onderaan de website kan terugvinden.

Mocht de melding toch niet op ons van toepassing zijn (we onderhouden het project bijvoorbeeld niet meer), dan kan je erop rekenen dat ook wij deontologisch zullen handelen en dan proberen we jou in contact te brengen met iemand die hier wel actie op kan ondernemen.

Wat wel of niet doen?

Probeer geen wijzigingen aan te brengen indien mogelijk. Soms is dit tóch nodig om de vaststelling correct uit te voeren. Probeer je daarbij aan onderstaande richtlijnen te houden:

  • Onderneem geen acties waarvan je vermoed dat ze de algemene werking van de website zullen verstoren.
  • Verwijder of pas gegevens van andere gebruikers niet aan.
  • Verwijder of pas geen gegevens aan als je vermoed dat dit niet meer ongedaan gemaakt kan worden.
  • Spreek niet meer gegevens aan dan strikt noodzakelijk om het veiligheidslek uit te lokken. Beperk de impact van je testen zo veel mogelijk.
  • Deel informatie over het veiligheidslek niet op sociale media of met derde partijen.
  • Voer geen DDoS-aanvallen of social engineering uit. Deze vallen niet onder dit programma.

Wat doe ik na het ontdekken van een lek?

Rapporteer veiligheidslekken door te mailen naar info@inventis.be. Vermeld hierbij de volgende gegevens:

  • Waar heb je het lek ontdekt? Vermeld de link van de pagina, of de homepagina indien dit niet van toepassing is.
  • Welke concrete stappen onderneem je om het probleem na te bootsen (bv. beginnend met het openen van de homepagina)?
  • Indien je dit nog weet, wat was de datum en het tijdstip waarop je dit probleem gevonden of nagebootst hebt?

Voorstellen omtrent een gepaste oplossing of betere werkwijze stellen we op prijs, maar zijn uiteraard niet verplicht.

We bekijken je mail zo snel mogelijk en doen ons best om binnen enkele werkdagen te antwoorden voor de verdere opvolging.

Mag ik anoniem rapporteren?

Als je van een tijdelijk of anoniem(er) mailadres wil sturen, dan ja! We kunnen je in dat geval wel niet om meer informatie vragen, bedanken, of een beloning geven, dus zorg zeker dat alle nodige informatie aanwezig is.

Alvast bedankt aan alle anonieme inzenders ☺!

Belonen jullie hiervoor?

Soms; dit bepalen we per geval apart. Niet alle gerapporteerde problemen geven dus automatisch recht op een beloning.

Één van de mogelijke beloningen die we kunnen verstrekken is authentieke Inventis-honing, artisanaal bereid door onze bedrijfsimker en verzorgd door onze Inventis-bijen!

Waar kan ik meer uitleg vinden?

Heb je nog vragen die hierboven niet beantwoord werden? Je kan ons steeds bereiken op info@inventis.be voor meer informatie over veiligheid in onze projecten of ons veiligheidsprogramma.