Helpcentrum

Een kwetsbaarheid melden

Heeft u een kwetsbaarheid ontdekt in één van onze diensten? Dan ontvangen wij daarvan graag een melding. U kunt uw bevindingen sturen naar security@digital-pharma.be.

Vermeld in uw melding bij voorkeur:

• Een duidelijke omschrijving van de kwetsbaarheid (wat u precies heeft vastgesteld).

• De IP-adressen die u heeft gebruikt tijdens uw test.

• De stappen die hebben geleid tot het aantonen van de kwetsbaarheid (bij voorkeur reproduceerbaar).

• Indien beschikbaar, ontvangen wij ook graag ondersteunend materiaal, zoals screenshots of een korte video.

Laat uw contactgegevens achter zodat Digital Pharma contact met u kan opnemen als dat nodig is om samen naar een oplossing te zoeken. Vermeld in ieder geval uw naam, e-mailadres en/of telefoonnummer. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat we contact met u kunnen opnemen als we aanvullende vragen hebben. 

Tijdens het onderzoek

Wij verzoeken u vriendelijke om geen informatie over het beveiligingslek te delen met derden, ook niet vóór of na de melding over het probleem, of zelfs nadat het is opgelost. Dergelijk gedrag wordt als onverantwoordelijk beschouwd en kan leiden tot een civielrechtelijke procedure. Indien u na het verhelpen van het beveiligingslek informatie hierover wilt publiceren, verzoeken wij u ons hiervan ten minste één maand van tevoren op de hoogte te stellen en ons de gelegenheid te geven te reageren. Vermelding van onze naam in een publicatie is alleen mogelijk na onze uitdrukkelijke toestemming.

Maak geen misbruik van de gevonden kwetsbaarheid anders dan strikt noodzakelijk voor het aantonen ervan, om mogelijke schade en overlast te voorkomen.

Handelingen in het kader van dit beleid voor verantwoorde openbaarmaking dienen beperkt te blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren en het delen van deze informatie met Digital Pharma:

• Onderneem geen acties die niet absoluut noodzakelijk zijn om een ​​potentiële kwetsbaarheid te detecteren of te melden.

• Verzamel alleen de informatie die nodig is om ons over het probleem te informeren.

Verricht geen handelingen die de goede werking van onze systemen kunnen beïnvloeden , zowel wat betreft beschikbaarheid en prestaties als de vertrouwelijkheid en integriteit van de gegevens. Het is bijvoorbeeld niet toegestaan ​​om de volgende handelingen uit te voeren (niet-uitputtende lijst): het plaatsen van malware; het kopiëren, wijzigen of verwijderen van gegevens in een systeem; het aanbrengen van wijzigingen in het systeem; het gebruik van brute-force-technieken om toegang te krijgen tot een systeem; (gedistribueerde) denial-of-service-aanvallen.

Gebruik geen aanvalsmethoden die gericht zijn op onze mensen (bijvoorbeeld via phishing en andere vormen van social engineering).

Bij twijfel over de toepasbaarheid van dit beleid kunt u eerst contact met ons opnemen via het bovengenoemde e-mailadres om expliciete toestemming te vragen.

Nadere overwegingen

We behouden ons het recht voor om ongeldige meldingen of meldingen van lage kwaliteit te negeren.

Als u een kwetsbaarheid ontdekt, maar de hierboven beschreven regels voor verantwoorde melding niet naleeft, behouden wij ons het recht voor om actie te ondernemen, juridische stappen te ondernemen en/of de zaak bij de politie te melden.

Wij behouden ons het recht voor om de inhoud van dit beleid te allen tijde te wijzigen of het beleid te beëindigen.

Hoe wij uw melding behandelen

We zullen binnen 10 werkdagen op uw melding reageren met onze beoordeling ervan en een verwachte datum voor de oplossing. We streven ernaar alle problemen binnen korte tijd op te lossen. Wij houden u zo goed mogelijk op de hoogte van de voortgang en eventuele vervolgstappen. Hartelijk dank voor uw melding en uw medewerking.

— Digital Pharma

Reporting a vulnerability

Have you discovered a vulnerability in one of our services? If so, we would appreciate it if you could report it to us. You can send your findings to security@digital-pharma.be.

Please include the following information in your report:

• A clear description of the vulnerability (what exactly you have discovered).

• The IP addresses you used during your test.

• The steps that led to the discovery of the vulnerability (preferably reproducible).

• If available, we would also appreciate receiving supporting material, such as screenshots or a short video.

Please leave your contact details so that Digital Pharma can contact you if necessary to find a solution together. Please include your name, email address and/or telephone number. Reporting under a pseudonym is possible, but please ensure that we can contact you if we have any additional questions.

During the investigation

We kindly request that you do not share any information about the security breach with third parties, either before or after reporting the issue, or even after it has been resolved. Such behaviour is considered irresponsible and may result in civil proceedings. If you wish to publish information about the security breach after it has been resolved, please notify us at least one month in advance and give us the opportunity to respond. Our name may only be mentioned in a publication with our express permission.

Do not abuse the vulnerability found other than as strictly necessary to demonstrate it, in order to prevent possible damage and inconvenience.

Actions under this responsible disclosure policy should be limited to conducting tests to identify potential vulnerabilities and sharing this information with Digital Pharma:

• Do not take any actions that are not absolutely necessary to detect or report a potential vulnerability.

• Only collect the information necessary to inform us about the problem.

Do not perform any actions that could affect the proper functioning of our systems, both in terms of availability and performance as well as the confidentiality and integrity of the data. For example, it is not permitted to perform the following actions (non-exhaustive list): installing malware; copying, modifying or deleting data in a system; making changes to the system; using brute force techniques to gain access to a system; (distributed) denial-of-service attacks.

Do not use attack methods that target our people (e.g. through phishing and other forms of social engineering).

If you are unsure about the applicability of this policy, please contact us first at the above email address to request explicit permission.

Further considerations

We reserve the right to ignore invalid reports or reports of poor quality.

If you discover a vulnerability but do not comply with the responsible reporting rules described above, we reserve the right to take action, pursue legal action and/or report the matter to the police.

We reserve the right to change the content of this policy at any time or to terminate the policy.

How we handle your report

We will respond to your report within 10 working days with our assessment and an expected date for resolution. We aim to resolve all issues within a short period of time. We will keep you informed of progress and any follow-up steps as best we can. Thank you for your report and your cooperation.

— Digital Pharma