Divulgare responsabilă
Rezumat executiv
- Această politică se aplică site-ului public de inginerie publicat pe raenbi.com și rutei publice de trimitere a contactului pe care site-ul o folosește atunci când acea rută este activată pentru instanța publicată.
- Dacă acționați cu bună-credință și rămâneți în limitele acestei politici, RAENBI tratează activitatea dumneavoastră ca testare de securitate autorizată pentru propria sa poziție civilă și de formulare a unei plângeri.
- Această politică nu prevalează asupra dreptului penal belgian. Activitatea care îi depășește limitele poate intra în continuare sub incidența articolului 550bis din Codul penal belgian.
- Canalul public de raportare verificat pentru raenbi.com este pagina de contact sau contact@raenbi.com. Folosiți prefixul de subiect
[CVD]pentru ca mesajul să fie rutat corect.
De ce există această politică
raenbi.com este site-ul public de inginerie al RAENBI. Suprafața lui de atac este intenționat restrânsă: pagini publice de conținut, o interfață de gestionare a consimțământului, activare opțională a analizei și o rută de contact. Chiar și cu această amprentă limitată, un defect real de securitate sau de confidențialitate poate afecta vizitatorii, corespondenții sau integritatea site-ului public.
Această politică oferă cercetătorilor o rută clară de raportare și îi oferă RAENBI un cadru operațional concret pentru triere, remediere și comunicare publică coordonată. Procesul este informat de ISO/IEC 29147:2018, ISO/IEC 30111:2019, ghidul FIRST privind divulgarea coordonată și cadrul public al Centrului pentru Securitate Cibernetică Belgia.
Domeniu de aplicare
În domeniu:
- paginile publice raenbi.com și conținutul de inginerie servit pe acestea
- suprafața de gestionare a consimțământului vizibilă pe raenbi.com, inclusiv bannerul cookies și dialogul de preferințe
- ruta de contact expusă pentru raenbi.com, inclusiv endpointul public de trimitere folosit de site atunci când este configurat pentru acea instanță publicată
În afara domeniului:
- pm.raenbi.com, kb.raenbi.com, hub.raenbi.com, stațiile de lucru ale personalului, uneltele interne, găzduirea pentru controlul versiunilor și sistemele de integrare și livrare continuă
- platformele terțe accesibile de pe raenbi.com, dar operate de alte părți, inclusiv furnizori de analiză, platforme de găzduire, infrastructură CDN la marginea rețelei și furnizori de e-mail
- teste de tip denial-of-service, generare de încărcare, forță brută, credential stuffing sau alte teste volumetrice
- atacuri prin phishing, vishing, SMS, acces fizic sau inginerie socială împotriva personalului RAENBI
- rezultate ale scanerelor automate fără o dovadă de concept reproductibilă
- recomandări de hardening sau bune practici care nu demonstrează un impact exploatabil
Dacă găsiți ceva în afara domeniului, puteți trimite totuși observația ca feedback informal de securitate prin pagina de contact, dar aceasta nu intră sub angajamentele de adăpost de siguranță de mai jos.
Ruta de raportare
- Pregătiți un raport scurt care să includă URL-ul sau componenta afectată, pașii de reproducere, impactul observat, data și ora testului și dovada minimă de concept necesară pentru confirmarea problemei.
- Trimiteți raportul prin pagina de contact sau scrieți la contact@raenbi.com, cu prefixul de subiect
[CVD], de exemplu[CVD] stored XSS on contact confirmation. - Dacă primul mesaj nu poate include în siguranță toate detaliile, trimiteți mai întâi o notificare scurtă, precizați că este vorba despre o problemă de securitate și cereți RAENBI să continue printr-o rută de schimb mai sigură.
- Rămâneți disponibil pentru întrebări suplimentare în timpul trierii.
Engleza este limba operațională implicită pentru corespondența de securitate. Dacă preferați franceza, neerlandeza sau româna, precizați acest lucru clar în primul mesaj.
Ținte de triere
| Acțiune | Țintă operațională |
|---|---|
| Confirmare de primire | în termen de 2 zile lucrătoare |
| Prima evaluare a severității | în termen de 5 zile lucrătoare |
| Actualizare de stare în timpul remedierii | la fiecare 14 zile calendaristice pentru probleme materiale din domeniu |
| Divulgare publică coordonată | după remediere, la un moment convenit cu raportorul atunci când este practic |
Dacă remedierea necesită în mod semnificativ mai mult de 90 de zile calendaristice de la confirmarea de primire, RAENBI va explica întârzierea și va documenta intern ținta revizuită.
Limitele adăpostului de siguranță
Poziția de adăpost de siguranță a RAENBI se aplică numai atunci când raportorul:
- acționează cu bună-credință și exclusiv pentru a semnala o problemă de securitate sau de confidențialitate
- limitează testele la suprafețele din domeniu enumerate mai sus
- se oprește imediat ce problema este confirmată
- evită accesul inutil la date cu caracter personal, date comerciale sau credențiale
- nu afectează disponibilitatea sau fiabilitatea pentru ceilalți utilizatori
- nu păstrează, nu publică și nu distribuie detalii de exploatare înainte ca RAENBI să fi avut o oportunitate rezonabilă de remediere
Atunci când aceste condiții sunt îndeplinite, poziția RAENBI este că nu va iniția ea însăși o acțiune civilă și nu va depune o plângere exclusiv din cauza activității de testare care a rămas în limitele acestei politici.
Acest adăpost de siguranță este restrâns. El nu preautorizează scanarea în masă, exploatarea armată, persistența, escaladarea privilegiilor dincolo de ceea ce este strict necesar pentru confirmarea problemei sau orice alt comportament care depășește limita testării autorizate. Dreptul penal belgian rămâne aplicabil, inclusiv articolul 550bis din Codul penal belgian.
Ce oferă și ce nu oferă RAENBI
RAENBI nu operează în prezent un program plătit de recompensare a raportării vulnerabilităților.
Pentru rapoarte valide din domeniu, RAENBI poate oferi:
- o confirmare scrisă a unui raport valid
- o discuție coordonată privind formularea atribuirii dacă are loc ulterior o divulgare publică
Această pagină nu promite o pagină publică de mulțumiri, un program separat de recompense, gestionare CVE sau o căsuță poștală criptată permanentă. Dacă RAENBI pune ulterior în funcțiune unul dintre aceste elemente, politica va fi actualizată mai întâi.
Context juridic belgian
Această politică este redactată în raport cu următorul cadru belgian:
- articolul 550bis din Codul penal belgian, care rămâne baza penală aplicabilă pentru accesul neautorizat la sisteme informatice
- Directiva (UE) 2022/2555 (NIS 2) și transpunerea sa belgiană prin Legea din 26 aprilie 2024, care formează contextul belgian de guvernanță de securitate cibernetică
- rolul public al Centrului pentru Securitate Cibernetică Belgia în materia divulgării coordonate
- Directiva (UE) 2019/1937 privind protecția avertizorilor și transpunerea sa belgiană prin Legea din 28 noiembrie 2022, care constituie un regim distinct de această politică de raportare a vulnerabilităților
Această pagină nu este o declarație de autoclasificare în temeiul NIS 2 și nu constituie, prin ea însăși, un canal de avertizare în interes public în sensul Legii din 28 noiembrie 2022.
Tratarea datelor cu caracter personal din raportul dumneavoastră
Dacă raportați o vulnerabilitate, RAENBI va primi în practică adresa dumneavoastră de e-mail, orice nume sau pseudonim furnizați, conținutul tehnic al raportului și corespondența ulterioară necesară pentru triere și remediere.
RAENBI tratează aceste informații în temeiul articolului 6 alineatul (1) litera (f) din RGPD, respectiv interesul legitim de a primi, evalua, documenta și rezolva un raport de securitate privind site-ul public, și în conformitate cu Legea belgiană din 30 iulie 2018 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal. Nu includeți date cu caracter personal inutile. Dacă dovada dumneavoastră conține date cu caracter personal ale unor terți, redactați-le unde este posibil sau semnalați-le clar, astfel încât să poată fi tratate cu grijă sporită.
Regulile mai largi privind prelucrarea datelor, retenția și cererile de exercitare a drepturilor pentru raenbi.com sunt stabilite în Politica de confidențialitate.
Politici asociate
- Politica de confidențialitate
- Politica privind cookie-urile
- Termeni de utilizare
- Declarație de accesibilitate
Ciclu de revizuire
RAENBI revizuiește această politică după modificări materiale ale suprafeței de atac a site-ului public, ale rutei de raportare sau ale cadrului juridic belgian citat mai sus, și cel puțin o dată pe an.