Polityka skoordynowanego ujawniania podatności

Jak zgłosić Autovig podatność: zakres, kanał, skoordynowany harmonogram, belgijska przystań CVD (ustawa z 28.11.2022) i eskalacja do CCB.

Autovig z zadowoleniem przyjmuje badania bezpieczeństwa prowadzone w dobrej wierze na jej publicznych zasobach. Niniejsza polityka jest polityką skoordynowanego ujawniania podatności (CVD) administratora w rozumieniu ISO/IEC 29147:2018, belgijskiej ustawy z 28 listopada 2022 r. (warunki przystani CVD oraz rola Centrum Cyberbezpieczeństwa Belgii — CCB) oraz Good Practice Guide on Vulnerability Disclosure ENISA. Ma zastosowanie do strony autovig.eu („Strona").

1. Kanał zgłoszeń

Prześlij pojedyncze, ustrukturyzowane zgłoszenie na adres:

E-mail: contact@autovig.eu

Temat: wpisz zgłoszenie bezpieczeństwa

Klucz PGP: TODO(pgp-key) — po publikacji klucz będzie dostępny na tej stronie.

Jeżeli nie możesz nas zastać lub nie otrzymasz potwierdzenia w terminie określonym w pkt 6, możesz przekazać zgłoszenie do belgijskiego krajowego CSIRT:

Centrum Cyberbezpieczeństwa Belgii (CCB) — CERT.be — https://ccb.belgium.be/en i https://cert.be.

Możesz pisać po angielsku, francusku, niemiecku, niderlandzku, rumuńsku lub polsku.

2. Zakres

W zakresie:

autovig.eu oraz każda subdomena udostępniająca treści produkcyjne;

wynik statycznego buildu: HTML, CSS, paczki JavaScript oraz emitowane dane strukturalne;

baner zgody na cookies oraz przechowywanie zgody po stronie klienta.

3. Poza zakresem

Witryny operatorów zewnętrznych (ASFINAG, DARS, NÚSZ, BGTOLL, CNAIR itd.) — proszę zgłaszać bezpośrednio operatorowi.

Problemy wymagające pozycji uprzywilejowanej (już skompromitowana przeglądarka, złośliwe rozszerzenie przeglądarki, fizyczny dostęp do urządzenia użytkownika).

Wyniki automatycznych skanerów bez wyraźnego, możliwego do wykazania wpływu na bezpieczeństwo.

Zgłoszenia dotyczące brakujących dobrych praktyk (hardening nagłówków HTTP, konfiguracja TLS, identyfikacja wersji oprogramowania) bez wykazanego ryzyka eksploatowalnego.

Testy odmowy usługi, socjotechnika wymierzona w personel lub kontrahentów, ataki na obiekty fizyczne lub na zewnętrznych dostawców (hosting, DNS, poczta).

4. Treść zgłoszenia

Krótki opis problemu oraz adres URL lub komponent, którego dotyczy.

Kroki reprodukcji, w tym ładunek żądania, jeżeli jest istotny.

Szacowany wpływ i realistyczny scenariusz wykorzystania.

Data i godzina testu oraz użyta przeglądarka, narzędzie lub skrypt.

Imię lub pseudonim, pod którym ewentualnie chcesz zostać uznany publicznie (pkt 8).

5. O co prosimy

Nie uzyskuj dostępu, nie modyfikuj ani nie pobieraj danych, które nie należą do Ciebie. Jeżeli błędna konfiguracja ujawnia dane osób trzecich, zatrzymaj się i poinformuj nas — nie pobieraj więcej niż minimum potrzebne do udokumentowania problemu.

Nie prowadź testów odmowy usługi, socjotechniki ani ataków na obiekty fizyczne lub zewnętrznych dostawców.

Daj nam rozsądne okno na naprawę przed jakimkolwiek ujawnieniem publicznym (pkt 7).

Działaj w dobrej wierze. Zgłoszenia ze szczerą intencją poprawy bezpieczeństwa są mile widziane; groźby, szantaż lub żądania zapłaty w zamian za nieujawnienie nie są.

6. Skoordynowany harmonogram — nasze zobowiązania

Potwierdzenie odbioru w terminie 5 dni roboczych od otrzymania.

Triaż (potwierdzenie zakresu, wstępna ocena ważności) w terminie 10 dni roboczych.

Aktualizacje statusu dotyczące istotnych ustaleń co najmniej co 15 dni kalendarzowych aż do zamknięcia.

Naprawa w terminie proporcjonalnym do ważności: podatności krytyczne lub aktywnie wykorzystywane mają priorytet; standardowe poprawki celują w 90 dni kalendarzowych od triażu; dłuższy termin uzgadniamy z Tobą i uzasadniamy.

Publiczne uznanie przy wydaniu poprawki, jeżeli sobie tego życzysz (pkt 8).

7. Skoordynowane ujawnienie publiczne

Stosujemy model skoordynowanego ujawniania:

zgłoszenie i poprawka pozostają poufne aż do wydania poprawki lub do upływu standardowego terminu 90 dni kalendarzowych od triażu;

administrator i badacz uzgadniają treść, atrybucję i moment każdej publikacji;

gdy ustalenie dotyczy osoby trzeciej (operatora, podmiotu przetwarzającego, biblioteki), termin może zostać przedłużony za obopólną zgodą, aby umożliwić tej stronie skoordynowanie własnej odpowiedzi;

w razie braku zgody co do terminu sprawa może zostać przekazana CCB (pkt 9).

8. Uznanie — obecnie brak programu bug bounty

Autovig nie prowadzi obecnie płatnego programu bug bounty. Uznanie przyjmuje formę publicznego podziękowania na tej stronie (pod wybranym imieniem lub pseudonimem) oraz bezpośredniej korespondencji. Nie składamy żadnej obietnicy nagrody pieniężnej; jeżeli program zostanie wprowadzony w przyszłości, warunki zostaną opublikowane tutaj, zanim jakiekolwiek zgłoszenie będzie mogło się na nich opierać.

9. Przystań i belgijskie ramy prawne

Zrezygnujemy z dochodzenia roszczeń — i będziemy traktować Twoje zachowanie jako autoryzowane na potrzeby właściwych belgijskich przepisów dotyczących nieuprawnionego dostępu do systemów informatycznych (w szczególności art. 550bis i 550ter Code pénal / Strafwetboek) — pod warunkiem, że:

działasz w dobrej wierze ze szczerą intencją poprawy bezpieczeństwa;

pozostajesz w zakresie określonym w pkt 2 i przestrzegasz listy „poza zakresem" w pkt 3;

uzyskujesz dostęp wyłącznie do ścisłego minimum danych niezbędnych do potwierdzenia ustalenia i nie eksfiltrujesz, nie zachowujesz, nie publikujesz ani nie udostępniasz danych osób trzecich;

nie obniżasz dostępności, integralności ani poufności poza zakres ściśle niezbędny do wykazania problemu;

powiadamiasz nas bez nieuzasadnionej zwłoki kanałem z pkt 1;

przestrzegasz harmonogramu skoordynowanego ujawnienia z pkt 7.

Niniejsza autoryzacja jest udzielana przez Autovig jako administratora wskazanych zasobów. Neutralizuje ona znamię nieuprawnionego dostępu z art. 550bis/550ter dla czynów objętych zakresem. Nie wiąże organów publicznych ani osób trzecich, których systemy mogą zostać ubocznie dotknięte. Badacz, który dodatkowo powiadomi CCB i spełni warunki belgijskiej ustawy z 28 listopada 2022 r. (sygnaliści oraz skoordynowane ujawnianie podatności), korzysta dodatkowo z ustawowego rozwiązania przystani CVD administrowanego przez CCB, niezależnie od niniejszej autoryzacji udzielonej przez administratora. W razie wątpliwości punktem odniesienia jest polityka CVD CCB (https://ccb.belgium.be/en/cvdp).

10. Przetwarzanie Twoich danych osobowych

Dane, które przekazujesz przy zgłoszeniu (adres e-mail, treść zgłoszenia, ewentualna treść zaszyfrowana PGP), są przetwarzane przez Autovig jako administratora na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) RODO) w celu triażu, naprawy i skoordynowanego ujawnienia. Zgłoszenia są przechowywane do 5 lat od zamknięcia, zgodnie z zalecanym terminem polityki CVD CCB. Twoje prawa, ścieżka skargi do belgijskiego organu APD/GBA oraz pozostałe informacje RODO znajdują się w naszej Polityce prywatności.

Źródła

Dyrektywa (UE) 2022/2555 (NIS2)

Belgijska ustawa z 26 kwietnia 2024 r. — transpozycja NIS2

Belgijska ustawa z 28 listopada 2022 r. (sygnaliści / skoordynowane ujawnianie podatności)

Belgijski Kodeks karny, art. 550bis i 550ter

ISO/IEC 29147:2018 — Technika informatyczna — Ujawnianie podatności

ENISA — Good Practice Guide on Vulnerability Disclosure

Centrum Cyberbezpieczeństwa Belgii — polityka skoordynowanego ujawniania podatności

Rozporządzenie (UE) 2016/679 (RODO)