Responsible disclosure

Responsible disclosure

Als grootste netbeheerder van Vlaanderen zet Fluvius sterk in op de verdere digitalisering van onze diensten aan particulieren, bedrijven en gemeenten. Om dit te realiseren is een sterke cultuur inzake veiligheid en beveiliging essentieel. Dit sluit echter niet uit dat fouten of kwetsbaarheden kunnen voorkomen. Om te vermijden dat deze door malafide personen of organisaties worden misbruikt, werkt Fluvius graag samen met ethische hackers, onderzoekers en hobbyisten.

Hoe kan jij ons helpen

Wanneer je één of meerdere zwakheden ontdekt in digitale Fluvius-toepassingen zoals websites, web- en mobiele applicaties, digitale meters of IoT oplossingen verzoeken wij jou om dit te melden aan webmaster [at] fluvius [dot] be.

Gelieve onderstaande informatie te bezorgen:

  • Zo duidelijk en gedetailleerd mogelijke informatie waar de vermoede zwakheid zich bevindt, en de potentiële impact ervan.
  • Een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren en mogelijk uit te buiten. Host name, ip adres, URL, Proof of concepts, procedures, foto’s, schermafdrukken en eventuele referenties naar bestaande CVE’s zijn bijzonder nuttig.
  • Jouw contactgegevens zodat we indien nodig met jou in contact kunnen komen. Wij behandelen deze uiteraard strikt vertrouwelijk.

Ga verantwoordelijk om met deze informatie: deel deze enkel met Fluvius en via bovenvermeld e-mailadres. Publicatie aan derden of verspreiding via kanalen zoals sociale media, internetfora of zelf traditionele pers kan ernstige juridische gevolgen hebben.

Spelregels voor gecoördineerde bekendmaking

Wat kan wel gerapporteerd worden?

We worden graag op de hoogte gebracht van alle fouten en tekortkomingen die ontdekt worden in onze digitale oplossingen en diensten, met uitzondering van deze die onder het beheer van derde partijen vallen. In geval van twijfel mag je uiteraard steeds het zekere voor het onzekere nemen en je bevindingen naar ons sturen.

Wat valt niet binnen het Gecoördineerd bekendmakingsbeleid?

Om de veiligheid van onze mensen, klanten en dienstverlening niet in het gedrag te brengen zijn volgende methodes expliciet verboden:

  • Uittesten of aanvallen van fysieke beveiligingen, zoals toegang tot terreinen, gebouwen en apparatuur.
  • Bedrieglijke contacten en communicaties zoals social engineering en phishing.
  • (Distributed) Denial of Services-aanvallen op network- of applicatieniveau.
  • Een gevonden probleem of zwakheid misbruiken om meer gegevens in te kijken of te downloaden dan strikt noodzakelijk is voor een correcte rapportering.
  • Alle andere acties die onbeschikbaarheid, aantasting van integriteit en/of vertrouwelijkheid van systemen of gegevens kunnen veroorzaken.

Hoe wordt het rapport opgevolgd?

Als organisatie die sterk begaan is met informatiebeveiliging neemt Fluvius elke melding van zwakheden bijzonder ernstig. Wij verbinden ons er toe om steeds gevolg te geven aan correct gerapporteerde bevindingen. Dit gaat als volgt in het werk:

  • Een antwoord volgt binnen de 2 weken.
  • Wij nemen rechtstreeks contact met je op indien extra informatie nodig is.
  • Elke melding zal binnen de mate van het mogelijke zo snel en efficiënt mogelijk onderzocht en opgelost worden.
  • Je zal nooit vervolgd worden indien je je aan hogervermelde spelregels hebt gehouden.

Ongeoorloofd gebruik van onze digitale diensten

Je verbindt je er toe om:

  • De via onze digitale diensten verkregen informatie nooit op onrechtmatige of onwettelijke manier te gebruiken.
  • Geen misbruik of ander oneigenlijk gebruik te maken van onze digitale diensten waardoor systemen of gegevens worden gecompromitteerd, beschadigd, of onbruikbaar gemaakt.
  • Onze digitale dienstverlening niet te misbruiken voor de verspreiding van virussen, malware, illegaal; onrechtmatig verkregen, of ander ongepast materiaal zoals zaken van een lasterlijke, discriminerende, geweldadige, obscene of bedreigend aard.
  • Je te onthouden van elke vorm van gebruik die inbreuk pleegt op de rechten van natuurlijke personen, rechtspersonen of verenigingen, inclusief maar niet beperkt tot deze die zijn vastgelegd in de wetgeving en regulering met betrekking tot de persoonlijke levenssfeer en intellectuele eigendom.
  • Onze digitale diensten niet te gebruiken voor bekendmaking of verspreiding van materiaal voor promotionele of publicitaire doeleinden zonder voorafgaandelijke toestemming van Fluvius, tenzij daar om verzocht werd door de ontvanger.

Bij schending van intellectuele of andere rechten van Fluvius of derde partijen, verbindt je je ertoe Fluvius of deze derden te vergoeden en te vrijwaren tegen enige aanspraken of vorderingen ten gevolge van de begane inbreuken.