Beleid voor detectie van kwetsbaarheden
Inleiding
OnePlan Limited streeft ernaar de veiligheid van het publiek te waarborgen door hun informatie te beschermen tegen ongegronde openbaarmaking. Het doel van dit beleid is om beveiligingsonderzoekers duidelijke richtlijnen te bieden voor het uitvoeren van activiteiten voor het ontdekken van kwetsbaarheden en om onze voorkeuren over te brengen over hoe we ontdekte kwetsbaarheden aan ons kunnen doorgeven.
Dit beleid beschrijft de onderzochte systemen en soorten onderzoek door dit beleid, hoe te verzenden kwetsbaarheid aan ons rapporteert, en hoe lang we vragen beveiligingsonderzoekers te wachten voordat ze kwetsbaarheden publiekelijk bekendmaken.
We willen dat beveiligingsonderzoekers zich op hun gemak voelen bij het melden van kwetsbaarheden die ze hebben ontdekt – zoals uiteengezet in dit beleid – zodat we deze kunnen oplossen en onze gebruikers veilig kunnen houden. We hebben dit beleid ontwikkeld om onze waarden te weerspiegelen en ons verantwoordelijkheidsgevoel te behouden tegenover beveiligingsonderzoekers die in goed vertrouwen hun expertise met ons delen.
Authorization
Als u tijdens uw beveiligingsonderzoek te goeder trouw moeite doet om aan dit beleid te voldoen, beschouwen wij uw onderzoek als geautoriseerd, werken we met u samen om het probleem snel te begrijpen en op te lossen, en OnePlan Limited zal geen juridische stappen aanbevelen of ondernemen met betrekking tot uw onderzoek.
Grichtlijnen
Voor de doeleinden van dit beleid betekent de term ‘onderzoek’ activiteiten waarbij u:
- Informeer ons zo snel mogelijk nadat u een feitelijk of potentieel beveiligingsprobleem heeft ontdekt.
- Doe al het mogelijke om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
- Gebruik exploits alleen voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen. Gebruik een exploit niet om gegevens te compromitteren of te exfiltreren, om opdrachtregeltoegang en/of persistentie tot stand te brengen, en gebruik de exploit niet om naar andere systemen te ‘draaien’.
- U geeft ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat u het openbaar maakt.
- Je brengt niet opzettelijk de privacy of veiligheid van OnePlan Beperkt personeel of derden.
- U zult niet opzettelijk de intellectuele eigendom of andere commerciële of financiële belangen van wie dan ook in gevaar brengen OnePlan Beperkt personeel of entiteiten, of derden.
Zodra u het bestaan van een kwetsbaarheid heeft vastgesteld of gevoelige gegevens bent tegengekomen (waaronder persoonlijk identificeerbare informatie, financiële informatie, bedrijfseigen informatie of bedrijfsgeheimen van welke partij dan ook), u moet stoppen met testen, ons onmiddellijk op de hoogte stellen en dergelijke gegevens aan niemand bekendmaken.
Shet hoofd te bieden
Tzijn beleid is van toepassing op de volgende systemen en diensten:
oneplanevenementen. com | locatietwin.com |
Systemen en diensten die rechtstreeks verband houden met domeinen en subdomeinen hierboven genoemde vallen binnen de reikwijdte. Bovendien wordt elke website die wordt gepubliceerd met een link naar dit beleid als binnen de reikwijdte beschouwd. Websites die hier niet expliciet worden vermeld of gepubliceerd met een link naar dit beleid, vallen buiten de reikwijdte van dit beleid. Kwetsbaarheden ontdekt in de systemen van onze leveranciers vallen buiten de reikwijdte van dit beleid en moeten rechtstreeks aan de leverancier worden gerapporteerd in overeenstemming met hun openbaarmakingsbeleid (indien van toepassing). Als u niet zeker weet of een systeem of eindpunt binnen het bereik valt, neem dan contact op [e-mail beveiligd] voordat u met uw onderzoek begint of bij de beveiligingscontactpersoon voor de domeinnaam van het systeem die wordt vermeld in de .com WHOIS.
Hoewel we andere systemen of diensten ontwikkelen en onderhouden die toegankelijk zijn via internet, vragen we dat actief onderzoek en testen alleen worden uitgevoerd op de systemen en diensten die onder de reikwijdte van dit document vallen. Als u van mening bent dat een systeem dat niet in dit document wordt behandeld, het testen waard is, neem dan vooraf contact met ons op om dit te bespreken. We zullen de reikwijdte van dit beleid in de loop van de tijd vergroten.
De [e-mail beveiligd] Het e-mailadres is ALLEEN bedoeld voor het melden van beveiligingsfouten van producten of diensten. Het wordt niet gebruikt om technische ondersteuningsinformatie voor onze producten of diensten te verkrijgen. Alle andere inhoud dan die specifiek betrekking heeft op beveiligingsfouten in onze producten of diensten, wordt niet verwerkt.
Rregels van betrokkenheid
SVeiligheidsonderzoekers mogen niet:
- Test elk ander systeem dan de systemen vermeld in het gedeelte 'Reikwijdte' hierboven,
- kwetsbaarheidsinformatie vrijgeven, behalve zoals uiteengezet in de secties 'Een beveiligingslek melden' en 'Openbaarmaking' hieronder,
- deelnemen aan fysieke tests van faciliteiten of middelen,
- zich bezighouden met sociale engineering,
- stuur ongevraagde e-mail naar gebruikers van OnePlan Beperkt, inclusief “phishing”-berichten,
- het uitvoeren of proberen uit te voeren van “denial of service”- of “Resource Exhaustion”-aanvallen,
- het introduceren van kwaadaardige software,
- tests uitvoeren op een manier die de werking ervan kan verslechteren OnePlan Beperkte systemen; of opzettelijk wijzigen, verstoren of uitschakelen OnePlan Beperkte systemen,
- applicaties, websites of diensten van derden testen die integreren met of linken naar of van OnePlan Beperkte systemen,
- verwijderen, wijzigen, delen, behouden of vernietigen OnePlan Beperkte gegevens of weergave OnePlan Beperkte gegevens ontoegankelijk, of,
- gebruik een exploit om gegevens te exfiltreren, opdrachtregeltoegang tot stand te brengen, een permanente aanwezigheid op te bouwen OnePlan Beperkte systemen, of ‘draaien’ naar andere OnePlan Beperkte systemen.
SVeiligheidsonderzoekers kunnen:
- Bekijk of bewaar OnePlan Beperkte niet-openbare gegevens alleen voor zover nodig om de aanwezigheid van een potentiële kwetsbaarheid te documenteren.
SVeiligheidsonderzoekers moeten:
- stop met testen en stel ons onmiddellijk op de hoogte als u een kwetsbaarheid ontdekt,
- stoppen met testen en ons onmiddellijk op de hoogte stellen na ontdekking van een blootstelling aan niet-openbare gegevens, en,
- verwijder alle opgeslagen bestanden OnePlan Beperkte niet-openbare gegevens bij het melden van een kwetsbaarheid.
Reen kwetsbaarheid melden
Wij accepteren kwetsbaarheidsrapporten op [e-mail beveiligd]. Meldingen kunnen anoniem worden ingediend. We ondersteunen momenteel geen PGP-gecodeerde e-mails.
Om ons beheer van de kwetsbaarheid te vergemakkelijken, verwachten we enkele goedgeschreven rapporten in het Engels of Frans met de volgende informatie:
- Tijd en datum van ontdekking
- Productmodel en -nummer, indien mogelijk met gebruikmaking van de leveranciersnomenclatuur
- URL, browserinformatie inclusief type en versie en invoer die nodig is om de kwetsbaarheid te reproduceren;
- Technische beschrijving — geef zo gedetailleerd mogelijk aan welke acties zijn uitgevoerd en wat het resultaat is;
- Voorbeeldcode: geef indien mogelijk code op die bij het testen is gebruikt om de kwetsbaarheid te creëren;
- Contactgegevens van de partij van de rapporterende partij — beste manier om te bereiken
- Openbaarmakingsplan(nen) — huidig plan om openbaar te maken;
- Bedreigings-/risicobeoordeling — bevat details van de geïdentificeerde bedreigingen en/of risico's, inclusief een risiconiveau (hoog, gemiddeld, laag) voor het beoordelingsresultaat;
- Softwareconfiguratie — details over de computer-/apparaatconfiguratie op het moment van de kwetsbaarheid;
- Relevante informatie over aangesloten apparaten als er tijdens interactie een kwetsbaarheid ontstaat. Wanneer een secundair apparaat de kwetsbaarheid activeert, moeten deze details worden verstrekt.
Neem geen persoonlijke gegevens op in uw rapporten, behalve als dit nodig is om contact met u op te nemen.
Deelname aan dit programma geeft u geen enkel recht op intellectueel eigendom van OnePlan Limited of een derde partij.
Informatie die onder dit beleid wordt ingediend, zal uitsluitend voor defensieve doeleinden worden gebruikt – om kwetsbaarheden te beperken of te herstellen. Als uw bevindingen nieuw ontdekte kwetsbaarheden omvatten die alle gebruikers van een product of dienst treffen en niet alleen OnePlan Limited, we kunnen uw melding delen met het Nationaal Agentschap voor de Beveiliging van Informatiesystemen (ANSSI), waar deze wordt behandeld volgens hun gecoördineerde openbaarmakingsproces voor kwetsbaarheden. Wij zullen uw naam of contactgegevens niet delen zonder uitdrukkelijke toestemming.
Door ons een Rapport te sturen, geeft u aan dat u de richtlijnen die in dit beleid worden beschreven, heeft gelezen, begrepen en ermee akkoord gaat voor het uitvoeren van beveiligingsonderzoek en het openbaar maken van kwetsbaarheden of indicatoren van daaraan gerelateerde kwetsbaarheden OnePlan Beperkte informatiesystemen en toestemming om de inhoud van de communicatie en vervolgcommunicatie op te slaan in een EU-informatiesysteem.
Om ons te helpen bij het beoordelen en prioriteren van inzendingen, raden we u aan dat uw rapporten:
- Houd u aan alle wettelijke voorwaarden zoals beschreven op OnePlan Beperkte servicevoorwaarden voor verantwoorde openbaarmaking. (aan te geven in uw e-mail)
- Beschrijf de kwetsbaarheid, waar deze werd ontdekt, en de potentiële impact van exploitatie.
- Geef een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept-scripts of schermafbeeldingen zijn nuttig).
Disafsluiting
OnePlan Limited streeft ernaar om kwetsbaarheden snel op te lossen. Wij erkennen echter dat het openbaar maken van een kwetsbaarheid zonder direct beschikbare corrigerende maatregelen het risico waarschijnlijk eerder vergroot dan verkleint. Daarom eisen wij dat u gedurende 90 kalenderdagen na ontvangst van onze ontvangstbevestiging van uw melding geen informatie over ontdekte kwetsbaarheden deelt. Als u van mening bent dat anderen op de hoogte moeten zijn van de kwetsbaarheid voordat wij corrigerende maatregelen implementeren, vragen wij u vooraf met ons te overleggen.
We kunnen kwetsbaarheidsrapporten delen met het Nationaal Agentschap voor de Beveiliging van Informatiesystemen (ANSSI), evenals met alle betrokken leveranciers. We zullen geen namen of contactgegevens van beveiligingsonderzoekers delen, tenzij we expliciet toestemming hebben gegeven.
Contact
Vragen over dit beleid kunt u sturen naar [e-mail beveiligd]. Wij nodigen u ook uit om contact met ons op te nemen met suggesties ter verbetering van dit beleid.