Responsible Disclosure
Managementsamenvatting
- Dit beleid is van toepassing op de publieke engineeringsite die op raenbi.com wordt gepubliceerd en op de publieke contactroute die de site gebruikt wanneer die route voor de gepubliceerde omgeving is ingeschakeld.
- Als u te goeder trouw handelt en binnen dit beleid blijft, behandelt RAENBI uw activiteit als geautoriseerd veiligheidsonderzoek voor haar eigen burgerrechtelijke en klachtgerelateerde houding.
- Dit beleid gaat niet boven het Belgische strafrecht. Activiteit die de grenzen ervan overschrijdt, kan nog steeds vallen onder artikel 550bis van het Belgische Strafwetboek.
- Het geverifieerde publieke meldkanaal voor raenbi.com is de contactpagina of contact@raenbi.com. Gebruik het onderwerpvoorvoegsel
[CVD]zodat het bericht correct kan worden gerouteerd.
Waarom dit beleid bestaat
raenbi.com is de publieke engineeringsite van RAENBI. Het aanvalsoppervlak is bewust beperkt: publieke inhoudspagina's, een interface voor toestemmingsbeheer, optionele activering van analyse en een contactroute. Zelfs met die beperkte voetafdruk kan een reëel beveiligings- of privacydefect bezoekers, correspondenten of de integriteit van de publieke site raken.
Dit beleid geeft onderzoekers een duidelijke meldroute en geeft RAENBI een concreet operationeel kader voor triage, remediatie en gecoördineerde publieke communicatie. Het proces is geïnformeerd door ISO/IEC 29147:2018, ISO/IEC 30111:2019, FIRST-richtlijnen voor gecoördineerde openbaarmaking en het publieke kader van het Centrum voor Cybersecurity België.
Toepassingsgebied
In scope:
- de publieke raenbi.com-pagina's en de engineeringsinhoud die daar wordt aangeboden
- het toestemmingsbeheer dat zichtbaar is op raenbi.com, met inbegrip van de cookiebanner en het voorkeurendialoog
- de contactroute die voor raenbi.com wordt aangeboden, met inbegrip van het publieke indienpunt dat de site gebruikt wanneer het voor die gepubliceerde omgeving is geconfigureerd
Buiten scope:
- pm.raenbi.com, kb.raenbi.com, hub.raenbi.com, personeelswerkstations, interne hulpmiddelen, broncodebeheer en systemen voor continue integratie en levering
- platformen van derden die vanaf raenbi.com bereikbaar zijn maar door andere partijen worden beheerd, waaronder aanbieders van analyse, hostingplatformen, CDN-edge-infrastructuur en e-mailaanbieders
- denial-of-service-, load-generation-, bruteforce-, credential-stuffing- of andere volumetrische tests
- phishing-, vishing-, sms-, fysieke of social-engineeringaanvallen tegen RAENBI-personeel
- uitvoer van geautomatiseerde scanners zonder reproduceerbaar bewijs van concept
- aanbevelingen inzake hardening of best practices die geen exploiteerbare impact aantonen
Als u iets buiten scope vindt, kunt u dat nog steeds als informele beveiligingsfeedback sturen via de contactpagina, maar het valt niet onder de onderstaande veilige-havenverbintenissen.
Meldroute
- Stel een beknopt rapport op met de getroffen URL of component, de reproductiestappen, de waargenomen impact, de datum en het tijdstip van de test en de minimale proof of concept die nodig is om het probleem te bevestigen.
- Stuur het rapport via de contactpagina of schrijf naar contact@raenbi.com, met het onderwerpvoorvoegsel
[CVD], bijvoorbeeld[CVD] stored XSS on contact confirmation. - Als het eerste bericht niet veilig alle details kan bevatten, stuur dan eerst een korte kennisgeving, vermeld dat het om een beveiligingskwestie gaat en vraag RAENBI om via een veiliger uitwisselingsroute verder te gaan.
- Blijf bereikbaar voor vervolgvragen tijdens de triage.
Engels is de operationele standaardtaal voor beveiligingscorrespondentie. Als u liever Frans, Nederlands of Roemeens gebruikt, vermeld dat dan duidelijk in uw eerste bericht.
Triagedoelen
| Actie | Operationeel doel |
|---|---|
| Ontvangstbevestiging | binnen 2 werkdagen |
| Eerste ernstbeoordeling | binnen 5 werkdagen |
| Statusupdate tijdens remediatie | elke 14 kalenderdagen voor materiële in-scope kwesties |
| Gecoördineerde publieke openbaarmaking | na remediatie, op een moment dat waar praktisch mogelijk met de melder wordt afgestemd |
Als de remediatie materieel langer dan 90 kalenderdagen vanaf de ontvangstbevestiging vergt, zal RAENBI de vertraging toelichten en intern het herziene doel documenteren.
Grenzen van de veilige haven
De veilige-havenpositie van RAENBI geldt alleen wanneer de melder:
- te goeder trouw handelt en uitsluitend een beveiligings- of privacykwestie wil melden
- de tests beperkt tot de hierboven vermelde in-scope oppervlakken
- stopt zodra het probleem is bevestigd
- onnodige toegang tot persoonsgegevens, bedrijfsgegevens of credentials vermijdt
- de beschikbaarheid of betrouwbaarheid voor andere gebruikers niet schaadt
- exploitdetails niet bewaart, publiceert of deelt voordat RAENBI een redelijke gelegenheid tot remediatie heeft gehad
Wanneer aan die voorwaarden is voldaan, is het standpunt van RAENBI dat zij niet zelf een burgerlijke vordering zal instellen en geen klacht zal neerleggen uitsluitend wegens de testactiviteit die binnen dit beleid is gebleven.
Die veilige haven is beperkt. Zij preautoriseert geen massascanning, gewapende exploitatie, persistentie, privilege-escalatie buiten wat strikt nodig is om het probleem te bevestigen, of enig ander gedrag dat de grens van geautoriseerd testen overschrijdt. Het Belgische strafrecht blijft van toepassing, met inbegrip van artikel 550bis van het Belgische Strafwetboek.
Wat RAENBI wel en niet aanbiedt
RAENBI hanteert momenteel geen betaald programma voor kwetsbaarheidsmeldingen met beloning.
Voor geldige in-scope meldingen kan RAENBI het volgende bieden:
- een schriftelijke ontvangstbevestiging van een geldige melding
- gecoördineerd overleg over attributiewording als later een publieke openbaarmaking volgt
Deze pagina belooft geen publieke erkenningspagina, geen afzonderlijk beloningsprogramma, geen CVE-afhandeling en geen permanent versleuteld postvak. Als RAENBI later een van die elementen daadwerkelijk invoert, wordt dit beleid eerst bijgewerkt.
Belgische juridische context
Dit beleid is opgesteld tegen de achtergrond van het volgende Belgische kader:
- artikel 550bis van het Belgische Strafwetboek, dat de toepasselijke strafrechtelijke basis blijft voor ongeoorloofde toegang tot informatiesystemen
- Richtlijn (EU) 2022/2555 (NIS 2) en haar Belgische omzetting door de wet van 26 april 2024, die de Belgische context van cybersecuritygovernance vormen
- de publieke rol van het Centrum voor Cybersecurity België bij gecoördineerde openbaarmaking
- Richtlijn (EU) 2019/1937 inzake de bescherming van klokkenluiders en haar Belgische omzetting door de wet van 28 november 2022, die een afzonderlijk regime vormen van dit beleid voor kwetsbaarheidsmeldingen
Deze pagina is geen zelfclassificatieverklaring onder NIS 2 en vormt op zichzelf geen klokkenluiderskanaal in de zin van de wet van 28 november 2022.
Verwerking van persoonsgegevens in uw melding
Als u een kwetsbaarheid meldt, zal RAENBI in de praktijk uw e-mailadres ontvangen, elke naam of gebruikersnaam die u opgeeft, de technische inhoud van de melding en de opvolgcorrespondentie die nodig is voor triage en remediatie.
RAENBI behandelt die informatie op grond van artikel 6, lid 1, punt f), van de AVG, namelijk het gerechtvaardigd belang om een beveiligingsmelding op de publieke site te ontvangen, te beoordelen, te documenteren en op te lossen, en in lijn met de Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Voeg geen onnodige persoonsgegevens toe. Als uw bewijs persoonsgegevens van derden bevat, scherm die dan waar mogelijk af of markeer ze duidelijk zodat zij met extra zorg kunnen worden behandeld.
De ruimere regels voor gegevensverwerking, bewaring en rechtenverzoeken voor raenbi.com staan in het Privacybeleid.
Verwante beleidsregels
Reviewcyclus
RAENBI herbekijkt dit beleid na materiële wijzigingen in het aanvalsoppervlak van de publieke site, de meldroute of het hierboven aangehaalde Belgische juridische kader, en minstens eenmaal per jaar.