Politique de divulgation
Encontrez-vous une vulnérabilité sur ce site Web ou dans l'un de nos autres systèmes (en ligne)? Faites-le nous savoir dès que possible et avant d'annoncer cette «fuite» au monde extérieur. Ceci nous permettra de prendre nos mesures le plus rapidement possible.
Nous sommes heureux de travailler ensemble pour mieux protéger nos systèmes et pour remédier à une vulnérabilité dans les meilleurs délais. Cependant, notre politique de divulgation responsable n’est pas une invitation à analyser activement nos systèmes à la recherche de points faibles.
Signaler une vulnérabilité.
Nous apprécions avoir de vos nouvelles si vous avez trouvé une vulnérabilité. Gardez à l'esprit les points suivants:
- Signalez la vulnérabilité dès que possible après sa découverte par courrier électronique à l'adresse: responsibledisclosure@kiwa.nl.
- Donnez-nous suffisamment d'informations pour reproduire le problème. Ainsi, nous pouvons résoudre le problème le plus rapidement possible. De manière générale, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffisent. En cas de vulnérabilités plus complexes, des informations supplémentaires peuvent être nécessaires; nous vous demanderons dans ce cas de nous fournir plus d'informations.
-
Indiquez vos coordonnées (adresse e-mail ou numéro de téléphone) afin que nous puissions vous contacter.
-
Ne partagez pas les informations relatives au problème de sécurité avec d'autres personnes avant que nous ayons pu résoudre le problème.
- Traitez de manière responsable votre connaissance du problème de sécurité. N'effectuez aucune action autre que celle qui est nécessaire pour démontrer le problème de sécurité.
Si votre rapport remplit ces conditions, nous ne poursuivrons pas de conséquences juridiques suite au signalement.
N'abusez pas d'un point faible
Si vous découvrez une vulnérabilité, n'en tirez pas parti, par exemple:
- placer des logiciels malveillants;
- copier, modifier ou supprimer des données dans un système ou créer une liste de répertoires;
- apporter des modifications au système;
- accéder à plusieurs reprises au système ou en partager l'accès avec d'autres personnes;
- utiliser le système en tant que passerelle vers d'autres systèmes;
- utiliser la prévision brute de l'accès aux systèmes;
- utiliser le déni de service ou l'ingénierie sociale.
Comment nous traitons votre rapport
Avez-vous signalé un point faible dans l'un de nos systèmes TIC ou sites Web? Alors, nous traiterons votre rapport dans l'ordre suivant:
- Vous recevrez une confirmation de réception de votre rapport dans un délai d'un jour ouvrable.
- Nous répondrons à votre rapport dans un délai de cinq jours ouvrables. Notre réponse contient une évaluation du rapport et une date prévue pour proposer une solution.
- Nous vous tiendrons informés en tant que rapporteur de l'évolution du problème.
- Nous traitons votre rapport de manière confidentielle et nous ne partageons pas vos données personnelles sans votre autorisation avec des tiers, sauf si la loi ou une décision de justice nous y oblige.
Solution pour une vulnérabilité
Nous résoudrons le problème de sécurité signalé le plus rapidement possible, dans tous les cas dans un délai de 60 jours. Nous déterminerons avec vous, en tant que rapporteur du problème, si et comment nous rapporterons le problème. Nous ne le rapporterons uniquement après avoir résolu le problème.
Finalement
Kiwa peut réviser la politique en matière de divulgation responsable s'il y a lieu de le faire. La politique actuelle est toujours sur cette page-ci.
Rijswijk, décembre 2018