Responsible Disclosure Policy

Vlerick Business School vindt het belangrijk dat haar informatie en systemen veilig zijn. Ondanks onze zorg voor de beveiliging van deze systemen kan het voorkomen dat er toch een kwetsbaarheid is.

Als je een kwetsbaarheid in één van onze systemen hebt gevonden, dan horen wij dat graag, zodat wij zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om ons publiek en onze systemen beter te kunnen beschermen.

Daarom hebben wij gekozen voor een beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’), zodat je ons kan informeren wanneer je een kwetsbaarheid ontdekt.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van Vlerick Business School. Bij elke twijfel vragen we om contact op te nemen via het Intigriti platform (zie verder onder 'Wat wij van jou vragen'), zodat we meer duidelijkheid kunnen verschaffen.

Indien je vragen zou hebben, of bij twijfel over de toepasbaarheid van deze policy kan je eerst contact opnemen via InfoSec@vlerick.com, om expliciete toestemming te vragen.

Wij behouden ons het recht voor om de inhoud van deze Policy op elk gewenst moment te wijzigen, of om de Policy te beëindigen.

Deze tekst is een afgeleid werk van “Responsible Disclosure” van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 3.0 licentie.


Wat we van jou vragen

Als je een kwetsbaarheid ontdekt in één van onze systemen, vragen wij jou om:

  • De kwetsbaarheid zo snel mogelijk na de vaststelling te melden via het Intigriti platform waar je ons publiek programma kan vinden.
  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan bijkomende info nodig zijn.
  • Te bevestigen dat je conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen.

Regels die je moet naleven

  • De kwetsbaarheid niet openbaar te maken totdat wij de kwetsbaarheid hebben kunnen corrigeren. Zie ook verder voor eventuele publicatie achteraf.
  • De kwetsbaarheid niet te misbruiken door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken. Of door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen.
  • De volgende handelingen niet toe te passen:
    • Het plaatsen van malware (virus, worm, Trojaans paard, enz.)
    • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem
    • Het aanbrengen van wijzigingen in het systeem
    • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen
    • Het gebruik maken van geautomatiseerde scantools
    • Het gebruik maken van het zogenaamde ‘bruteforcen’ van toegang tot systemen
    • Het gebruik maken van denial-of-service of social engineering (phishing, vishing, spam, ...).
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • Alle gegevens die zijn verkregen via de kwetsbaarheid meteen te wissen na de melding ervan aan Vlerick Business School.
  • Geen handelingen uit te voeren die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel wat betreft beschikbaarheid als performantie, maar ook wat betreft confidentialiteit en integriteit van de data.

Handelingen onder deze Responsible Disclosure Policy moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren met het oog op het delen van deze informatie met Vlerick Business School.

Indien je over de kwetsbaarheid wenst te publiceren nadat de kwetsbaarheid is verwijderd, verzoeken wij om ons dit minstens één maand voor de publicatie te melden, en om ons de mogelijkheid te geven hierop te reageren. Ons rechtstreeks of onrechtstreeks identificeren in een publicatie kan slechts na ons uitdrukkelijk akkoord.

Wat wij beloven

  • Als je je aan bovenstaande voorwaarden van de Responsible Disclosure Policy hebt gehouden en geen andere inbreuken hebt begaan, zullen wij geen juridische stappen ondernemen.
  • Je krijgt van ons op korte termijn een reactie op jouw melding met onze beoordeling van de melding en een eventuele verwachte datum voor een oplossing.
  • Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonsgegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Als dank voor elke melding van een ons nog onbekend beveiligingsprobleem, bieden wij de mogelijkheid om vermeld te worden in onze ‘Hall Of Fame’. 
  • Wij streven ernaar om alle beveiligingsproblemen op korte termijn op te lossen.
  • Wij mogen ervoor kiezen om minder kwalitatieve meldingen te negeren.