Contacteer ons

Responsible Disclosure Policy

Lydian beschouwt de beveiliging van onze systemen en gegevens als een topprioriteit. Hoeveel moeite we ook doen om onze systemen en gegevens te beveiligen, toch kunnen er kwetsbaarheden aanwezig zijn. Mocht u een risico ontdekken, dan vragen wij u deze aan ons te melden via een proces van gecoördineerde bekendmaking, ook wel responsible disclosure genoemd. Zo kunnen we veilig stappen ondernemen om het beveiligingslek zo snel mogelijk te verhelpen en de beveiliging van onze systemen en gegevens te verbeteren.

De nationale wetgeving blijft van kracht en prevaleert, ongeacht Lydians beleid inzake responsible disclosure, de rapportageprocedure en hun modaliteiten.

 

1    WELKE BEVEILIGINGSPROBLEMEN KUNNEN WORDEN GEMELD?

Het responsible disclosure proces is bedoeld voor het melden van vermoede kwetsbaarheden in onze systemen, waaronder de Lydian website, die misbruikt kunnen worden en/of leiden tot (onder andere):

  • Diefstal van (persoonlijke of niet-persoonlijke) gegevens;
  • Ongeoorloofde wijziging of verwijdering van gegevens;
  • Onderbreking of wijziging van de toegang tot onze systemen;
  • Verstoring van de werking van onze systemin;
  • Enz.

Het responsible disclosure-proces is niet bedoeld voor:

  • Vragen of klachten over de werking van onze systemen, juridische diensten, facturen etc.; en
  • Meldingen over virussen, phishing e-mails, emailfraude, enz.

 

2    PROCES VOOR BEKENDMAKING VAN KWETSBAARHEDEN & RULES OF ENGAGEMENT

In tegenstelling tot vroeger wordt hacken in de context van de onthulling van een kwetsbaarheid niet beschouwd als een misdrijf zolang aan vier cumulatieve voorwaarden wordt voldaan. Ten eerste moet de melder van de kwetsbaarheid hebben gehandeld zonder frauduleuze bedoelingen of de intentie om schade te berokkenen. Ten tweede moet Lydian zo snel mogelijk op de hoogte worden gesteld dat er mogelijk een kwetsbaarheid is ontdekt. Ten derde, bij het verifiëren van het bestaan van een kwetsbaarheid is proportionaliteit van groot belang. Als het probleem op kleine schaal is aangetoond, is het niet nodig om verder te zoeken. Ten slotte mag informatie over de ontdekte kwetsbaarheid niet openbaar worden gemaakt zonder voorafgaande toestemming van Lydian.

  • Meld alle beveiligingsproblemen aan informationsecurity@lydian.be;
  • Gebruik een geëncyrpteerde email om te voorkomen dat belangrijke informatie in verkeerde handen valt;
  • Beschrijf het probleem voldoende gedetailleerd en voeg de nodige bewijzen toe;
  • U bent niet verplicht om ons uw contactgegevens te bezorgen, maar u kan ons altijd een emailadres geven dat leidt naar een anonieme mailbox;
  • Breng alleen Lydian op de hoogte van uw bevindingen en alleen via dit proces. Publiceer geen details over het beveiligingsprobleem via andere kanalen. Het bekendmaken van de kwetsbaarheid via andere kanalen of de media, voor of na het melden aan Lydian via dit proces, wordt beschouwd als onverantwoorde bekendmaking en zal leiden tot strafrechtelijke vervolging;
  • Maak geen misbruik van de geïdentificeerde kwetsbaarheid. Verzamel alleen de informatie die nodig is om het bestaan ervan aan te tonen. Wijzig of verwijder geen gegevens of systeeminstellingen;
  • Werk altijd binnen de wettelijke grenzen bij het identificeren van potentiële beveiligingslekken. DDoS-aanvallen, brute-force password guessing, social engineering, het infecteren van systemen met malware/computervirussen, het scannen van systemen en netwerken etc. kunnen schade toebrengen aan Lydian, onze medewerkers en onze klanten en worden daarom beschouwd en behandeld als gerichte aanvallen. In deze en andere gevallen garandeert Lydian niet dat u niet vervolgd zult worden, aangezien het risico bestaat dat de autoriteiten naar aanleiding van dergelijke aanvallen de nodige maatregelen zullen nemen. In ieder geval zal Lydian in deze omstandigheden ook strafrechtelijke vervolging overwegen.

 

3    WAT GEBEURT ER MET GEMELDE BEVEILIGINGSPROBLEMEN?

  • Als u contactinformatie heeft verstrekt, zullen we uw bericht zo snel mogelijk beantwoorden;
  • Waar mogelijk kunnen we contact met u opnemen als we aanvullende informatie nodig hebben;
  • We zullen er alles aan doen om eventuele tekortkomingen zo snel mogelijk te verhelpen en we zullen u tijdens het hele proces op de hoogte houden (als contactgegevens werden verstrekt);
  • In ieder geval zal Lydian nooit beloningen toekennen voor ontdekte kwetsbaarheden.

 

4    MEER INFORMATIE

Als u vragen of opmerkingen heeft kan u contact met ons opnemen via informationsecurity@lydian.be.

Neem bij twijfel over de toepassing van deze policy eerst contact met ons op via bovenstaand emailadres.

Lydian behoudt zich het recht voor om de inhoud van deze policy ten allen tijde te wijzigen, dan wel de policy te beëindigen.

 

Laatst bijgewerkt: 15 maart 2024