KPD hecht veel belang aan de beveiliging en privacy van onze systemen en de gegevens van onze gebruikers.
We waarderen de hulp van beveiligingsonderzoekers en de bredere community bij het vinden van kwetsbaarheden. Heb je een beveiligingslek in onze systemen ontdekt? Dan moedigen we je aan om dit op een verantwoorde manier aan ons te melden.
Deze Responsible Disclosure Policy legt uit hoe je kwetsbaarheden kunt rapporteren en wat je van ons kunt verwachten in ruil voor je medewerking. Door deze richtlijnen te volgen, help je ons om mogelijke problemen snel en effectief op te lossen.
Wat valt binnen de scope?
Dit beleid geldt voor de volgende systemen en diensten: www.kpd.be, connect.kpd.be, help.kpd.be en online.kpd.be
Wat valt buiten de scope?
De volgende activiteiten vallen expliciet buiten dit beleid:
- Fysieke beveiligingstests.
- Social engineering, zoals phishingpogingen.
- Denial-of-Service (DoS)-aanvallen of andere acties die de beschikbaarheid van onze systemen verstoren.
- Kwetsbaarheden in diensten of applicaties van derden die met onze systemen zijn geïntegreerd.
Richtlijnen voor jou als onderzoeker
Om de veiligheid van onze systemen en de privacy van onze gebruikers te beschermen, vragen we je om je aan de volgende regels te houden:
- Maak geen misbruik van de kwetsbaarheid en test alleen wat nodig is om het probleem aan te tonen.
- Zorg ervoor dat je onze systemen niet verstoort en respecteer de vertrouwelijkheid van gegevens.
- Test alleen op systemen die expliciet binnen de scope van dit beleid vallen.
- Geef voldoende informatie zodat we de kwetsbaarheid kunnen reproduceren en valideren.
- Deel of publiceer de kwetsbaarheid niet voordat wij deze hebben opgelost.
Hoe meld je een kwetsbaarheid?
Heb je een mogelijke kwetsbaarheid gevonden? Stuur dan je bevindingen naar ons via:
E-mail: marketing@kpd.be
Om ons te helpen het probleem snel te begrijpen en op te lossen, vragen we je om de volgende informatie mee te sturen:
- Een duidelijke en beknopte beschrijving van de kwetsbaarheid.
- Stappen om het probleem te reproduceren, inclusief relevante URL’s, verzoeken of parameters.
- Indien mogelijk, een proof-of-concept of schermafbeeldingen.
- Je contactgegevens zodat we je kunnen bereiken voor verdere vragen.
- Wil je je melding versleutelen? Gebruik dan een PGP-sleutel.
Wat kun je van ons verwachten?
Wanneer je een kwetsbaarheid meldt volgens dit beleid, kun je het volgende verwachten:
- Bevestiging: Binnen 3 werkdagen ontvang je een ontvangstbevestiging van je melding.
- Evaluatie: We beoordelen de kwetsbaarheid en nemen contact met je op als we extra details nodig hebben.
- Oplossing: We lossen het probleem zo snel mogelijk op en houden je op de hoogte van de voortgang.
Safe Harbor
Als je je aan deze Responsible Disclosure Policy houdt, ondernemen we geen juridische stappen tegen je onderzoeksactiviteiten. Deze garantie geldt echter niet als je de wet overtreedt, dit beleid schendt of schade veroorzaakt aan onze gebruikers of systemen.
Dank je voor je hulp bij het veilig houden van onze systemen. Heb je vragen over dit beleid? Neem dan contact met ons op via marketing@kpd.be.