Beleid van bekendmaking van kwetsbaarheden
Als onderneming met een missie die de privacy van eenieder respecteert, stellen wij technologie en innovatie in dienst van de mens en staan de veiligheid en beveiliging van onze vennoten en klanten hoog op de agenda.
Wij doen ons uiterste best om vanaf hun ontwerp onze producten te verzekeren van de hoogste servicekwaliteit en het hoogste veiligheidsniveau. Ondanks al onze inspanningen kunnen er echter nog steeds kwetsbaarheden optreden.
Daarom volgt BTB een beleid gericht op de bekendmaking van kwetsbaarheden. Dit beleid verduidelijkt de communicatie betreffende de melding van potentiële kwetsbaarheden waar onze diensten te maken mee kunnen krijgen en de wijze waarop deze melding in behandeling genomen wordt.
Het ingangspunt voor de meldingen is ons "Computer Emergency Response Team (CERT) CM-EI".
BTB, dankt u voor uw melding en uw bijdrage aan de veiligheid van een zo groot mogelijk aantal personen die hierdoor vertegenwoordigd wordt.
Hoe meldt u een potentieel veiligheidsprobleem?
Voor elke melding van een kwetsbaarheid kunt u ons via het volgende formulier een bericht sturen. Voor de beste afhandeling en identificatie van deze kwetsbaarheid verzoeken wij u zoveel mogelijk beschikbare informatie in het meldingsformulier te vermelden.
Om veiligheidsredenen worden al onze toekomstige uitwisselingen versleuteld door middel van PGP.
Voor het aan ons verzenden van versleutelde berichten, kunt u gebruik maken van onze PGP-sleutel die te vinden is op de website van Crédit Mutuel.
De verwerking van uw melding
Naar aanleiding van uw melding zullen onze teams de inhoud ervan analyseren om de kwalificatie van kwetsbaarheid zo snel mogelijk te valideren. We zullen uitsluitend contact met u opnemen indien wij aanvullende informatie nodig hebben.
Bovendien:
- In het kader van dit programma wordt er geen vergoeding voorzien, ook niet als inderdaad blijkt dat er sprake is van een kwetsbaarheid;
- Om veiligheidsredenen zullen de fouten en hun oplossingen niet gepubliceerd worden.
BTB zal als enige oordelen over de indeling van de kwetsbaarheid en de daaruit voortvloeiende indeling in de risicocategorie. BTB beslist als enige over de termijn en de wijze waarop deze kwetsbaarheden zullen worden opgelost.
Eisen inzake bekendmaking
Wanneer u aan BTB een kwetsbaarheid meldt, dient u:
- De toepasselijke wetten na te leven;
- Geen 'Denial of Service'-aanvallen of uitputting van bronnen uit te voeren;
- De BTB systemen te gebruiken zonder Groep, zijn klanten, zijn werknemers of derden schade te berokkenen;
- Geen gegevens te gebruiken, te wijzigen of te wissen waartoe u toegang zou kunnen hebben door gebruik te maken van deze kwetsbaarheid;
- Geen sociale engineering, spam of phishing-aanvallen uit te voeren op werknemers van BTB of hun vertrouwde partners;
- De fysieke veiligheid van de goederen van BTB of van derden niet te testen;
- Geen informatie over deze melding, de gemelde kwetsbaarheid of het feit dat de kwetsbaarheid aan BTB werd gemeld, bekend te maken.
Deze verplichting tot niet-bekendmaking geldt ongeacht of BTB al dan niet van tevoren op de hoogte was van de informatie.
Alle aspecten van dit proces kunnen zonder voorafgaande kennisgeving worden gewijzigd.
De melding van een kwetsbaarheid verleent u geen enkel recht van intellectuele eigendom op de activa die eigendom zijn van BTB of van een derde partij.