Responsible Disclosure Policy

Responsible Disclosure Policy

Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden

Bij bpost hechten we veel belang aan de beveiliging van onze systemen en gegevens. Ondanks de maatregelen die wij nemen om onze beveiliging te optimaliseren, kunnen zich toch problemen voordoen. Indien je toch een beveiligingsprobleem zou ontdekken, dan kan je dit op een verantwoorde manier aan ons melden. Wij stellen je hulp bij het verbeteren van onze systemen en het beschermen van onze klanten erg op prijs.

Welke beveiligingsproblemen kunnen op deze manier worden gemeld?

Dit proces is bedoeld voor het melden van vermoedelijke kwetsbaarheden in onze producten en diensten waaronder websites, webgebaseerde toepassingen en mobiele apps, die kunnen worden misbruikt en kunnen leiden tot:

  • diefstal van gevoelige informatie;
  • ongeoorloofde wijziging of verwijdering van gevoelige informatie;
  • verstoring of verhindering van de toegang tot onze diensten;
  • verstoring van de goede werking van onze producten of diensten.
     

Dit proces is niet bedoeld voor het melden van:

  • vragen of klachten over de werking van onze producten, diensten, facturatie, enz. Voor dit soort problemen kan je contact opnemen met onze klantendienst.
  • DDoS-aanvallen, brute-force wachtwoord-aanvallen, social engineering-aanvallen, enz.
  • meldingen over virussen, phishingmails, spammails, fraude, enz.

Hoe moeten de beveiligingsproblemen worden gemeld?

  • Meld het probleem door een e-mail te sturen naar responsible.disclosure@bpost.be.
  • Je kan je bericht in het Nederlands, Frans of Engels sturen.
  • Beschrijf het probleem en geef voldoende details. Voeg het nodige bewijsmateriaal toe, zoals IP-adressen, logboekgegevens, screenshots, enz.
  • Je kan de vermoedelijke kwetsbaarheid ook melden via het Intigriti secure bug bounty platform waar bpost een gecoördineerde bekendmaking van kwetsbaarheden-programma heeft lopen.
  • In sommige gevallen zouden wij echter graag contact opnemen om meer informatie te vragen of om feedback te geven. Een optie hiervoor is een anonieme mailbox (bijvoorbeeld via Gmail of Hotmail).
  • Breng alleen bpost op de hoogte van je bevindingen, en enkel via deze weg. Publiceer geen details over het beveiligingsprobleem via andere kanalen. Het bekendmaken van het probleem via andere kanalen of de media, voor of na de melding aan bpost via deze weg (en zelfs wanneer niet alle details zijn verstrekt) wordt beschouwd als onverantwoordelijk gedrag en kan leiden tot strafrechtelijke vervolging.
  • Maak geen misbruik van het geïdentificeerde lek: verzamel enkel de informatie die nodig is om het bestaan ervan aan te tonen.
  • Wijzig of verwijder geen gegevens of systeeminstellingen.
  • Ga verantwoord om met alle gegevens die je vindt. Als je kan aantonen dat er een beveiligingsprobleem is met een klein deel van deze gegevens, ga dan niet verder.
  • Blijf altijd binnen de wettelijke grenzen werken bij het identificeren van potentiële beveiligingsproblemen. Toon geen beveiligingsproblemen aan door DDoS-aanvallen uit te voeren, brute-force wachtwoorden te raden, social engineering-activiteiten uit te voeren, systemen met malware te infecteren, onze systemen te scannen, enz. Deze acties kunnen zowel bpost als de klanten schade berokkenen en zullen daarom worden beschouwd en behandeld als gerichte aanvallen. In dergelijke gevallen kan bpost niet garanderen dat je niet zal worden vervolgd, aangezien het risico bestaat dat de autoriteiten de nodige maatregelen zullen nemen als reactie op dergelijke aanvallen.

 

Wat gebeurt er met de gemelde beveiligingsproblemen?

  • Als je contactinformatie hebt verstrekt, beantwoorden we je bericht zo snel mogelijk.
  • Waar mogelijk kunnen we contact met je opnemen als we aanvullende informatie nodig hebben.
  • We zullen alles in het werk stellen om eventuele tekortkomingen zo snel mogelijk te verhelpen en we houden je gedurende het hele proces op de hoogte.
  • Afhankelijk van het mogelijk vastgestelde veiligheidsprobleem kan bpost beslissen om een beloning toe te kennen. De inhoud en de omvang van een beloning worden uitsluitend door bpost bepaald, en een dergelijke beloning mag niet worden beschouwd als een garantie voor toekomstige beloningen.
  • Handelen in overeenstemming met deze richtlijnen garandeert dat bpost geen strafrechtelijke klacht tegen je zal indienen.


Een beveiligingsprobleem melden >