RESPONSIBLE DISCLOSURE POLICY
Inleiding
Transatel zet zich in voor het waarborgen van de beschikbaarheid, integriteit, vertrouwelijkheid en traceerbaarheid van de aan haar toevertrouwde informatie.
Indien er echter een beveiligingslek, kwetsbaarheid of datalek met betrekking tot Transatel wordt ontdekt, beschrijft deze pagina ons beleid voor verantwoorde openbaarmaking (Responsible Disclosure Policy) voor de behandeling van meldingen van kwetsbaarheden en voor het melden van problemen.
Alle meldingen zijn welkom, ongeacht of u een beveiligingsonderzoeker, ontwikkelaar, klant of particulier bent, mits u voldoet aan de volgende voorwaarden:
Indien er echter een beveiligingslek, kwetsbaarheid of datalek met betrekking tot Transatel wordt ontdekt, beschrijft deze pagina ons beleid voor verantwoorde openbaarmaking (Responsible Disclosure Policy) voor de behandeling van meldingen van kwetsbaarheden en voor het melden van problemen.
Alle meldingen zijn welkom, ongeacht of u een beveiligingsonderzoeker, ontwikkelaar, klant of particulier bent, mits u voldoet aan de volgende voorwaarden:
Voorwaarden
- Houd informatie over ontdekte kwetsbaarheden vertrouwelijk.
- Maak geen gebruik van geautomatiseerde tools of aanvalsmethoden zoals social engineering (phishing, fraude, enz.), denial-of-service-aanvallen (DoS, DDoS), spam, oplichting of acties die de fysieke beveiliging in gevaar brengen.
- Maak geen misbruik van kwetsbaarheden verder dan strikt noodzakelijk, bijvoorbeeld door meer gegevens te downloaden dan vereist of door de gegevensintegriteit van derden in gevaar te brengen.
- Voorzie ons van een manier om contact met u op te nemen indien u op de hoogte wilt worden gehouden van de uitkomst.
- Stuur de resultaten per e-mail naar security-disclosure[at]transatel.com (Dit adres is uitsluitend bedoeld voor het melden van kwetsbaarheden; andere verzoeken worden niet behandeld).
- Of, overeenkomstig artikel 47 van de Franse wet voor een Digitale Republiek, meld dit aan CERT-FR als bevoegde autoriteit: cert-fr[at]ssi.gouv.fr
- Overtreed geen wetten of voorschriften die verder gaan dan hetgeen uitdrukkelijk in dit beleid wordt toegestaan.
- Accepteer ons privacybeleid zonder voorbehoud, zodat uw melding kan worden verwerkt.
In uw melding
- Anonimiseer persoonlijke gegevens.
- Vermeld alle noodzakelijke details om het beveiligingsprobleem te reproduceren of te verifiëren (IP-adres, URL, beschrijving van de kwetsbaarheid, OWASP-, CVE- of ATT&CK-referentie), screenshots en een lijst van de getroffen producten en diensten.
- Indien van toepassing, specificeer de details van eventueel aangemaakte testaccounts.
Verwerking en vertrouwelijkheid
Na ontvangst zal uw melding zo spoedig mogelijk door het beveiligingsteam worden beoordeeld.
Wij verzekeren u dat uw melding vertrouwelijk wordt behandeld, in overeenstemming met wettelijke en regelgevende vereisten.
Deelname aan het meldingsproces verleent geen intellectuele eigendomsrechten.
Indien kwetsbaarheden worden ontdekt en gemeld in overeenstemming met onze Responsible Disclosure Policy, zullen er geen juridische stappen worden ondernomen tegen de melder. In geval van niet-naleving behouden wij ons echter alle juridische rechten voor.
Tot slot wijzen wij erop dat wij momenteel geen Bug Bounty-programma aanbieden of daaraan deelnemen.
Wij verzekeren u dat uw melding vertrouwelijk wordt behandeld, in overeenstemming met wettelijke en regelgevende vereisten.
Deelname aan het meldingsproces verleent geen intellectuele eigendomsrechten.
Indien kwetsbaarheden worden ontdekt en gemeld in overeenstemming met onze Responsible Disclosure Policy, zullen er geen juridische stappen worden ondernomen tegen de melder. In geval van niet-naleving behouden wij ons echter alle juridische rechten voor.
Tot slot wijzen wij erop dat wij momenteel geen Bug Bounty-programma aanbieden of daaraan deelnemen.