Responsible disclosure-beleid

De beveiliging van systemen en gegevens is voor KBC van het grootste belang en daarom een absolute prioriteit. Ondanks onze vele inspanningen kan het zijn dat er in onze systemen en processen nog kwetsbaarheden aanwezig zijn. Daarom nodigen we iedereen met de juiste vaardigheden uit om ons te helpen de algemene beveiliging en betrouwbaarheid van onze systemen, processen en gegevens te verbeteren.

Wij, dat is KBC Groep NV (Havenlaan 2, 1080 Brussel, België, BTW BE 0403.227.515, RPR Brussel) en zijn verbonden ondernemingen (in de zin van het Belgische Wetboek van Vennootschappen), gevestigd en actief in België, passen dit 'Responsible disclosure-beleid' toe om de voorwaarden te bepalen waarbinnen jij vrijwillig mogelijke problemen met betrekking tot de veiligheid van KBC-systemen, -processen en -gegevens kunt testen en melden.

Door deel te nemen aan activiteiten die onder dit Responsible disclosure-beleid vallen, aanvaard je dat de bepalingen van dit beleid van toepassing zijn op jouw relatie met KBC.

Onderzoek

Als je de veiligheid van de systemen, processen en gegevens van KBC wilt onderzoeken, garandeer je dat je de volgende principes zult naleven:

  • Je gebruikt geen technieken die onze online en andere diensten kunnen verstoren.
  • Je verwijdert, wijzigt of beschadigt onze gegevens en systemen op geen enkele wijze.
  • Je kopieert onze gegevens niet, tenzij en voor zover dat strikt noodzakelijk is voor de uitvoering van je onderzoek. Daarna moeten deze gegevens definitief worden vernietigd.
  • In geen geval mag je iets in verband met het onderzoek openbaar maken, tenzij en voor zover dat wettelijk verplicht is.
  • Je maakt geen gebruik van social engineering of brutekrachttechnieken (bv. het wachtwoord raden) om toegang te krijgen tot KBC-systemen of -procedures.
  • Je probeert niet verder in het systeem door te dringen dan strikt noodzakelijk is voor je onderzoek.
  • Je deelt geen verkregen toegang of gegevens met anderen.

Rapportering

Als je denkt dat je een zwakke plek hebt gevonden in de systemen, processen of gegevens van KBC, moet je KBC op de hoogte brengen van je bevindingen via het publieke programma van KBC op het Intigriti-platform. Onze beveiligingsteams zullen je inzending zorgvuldig en met de nodige prioriteit onderzoeken.

Wanneer je een kwetsbaarheid die je hebt ontdekt meldt, garandeer je dat je de volgende principes zult naleven:

  • Je hebt je identiteit bevestigd op het Intigriti-platform.
  • Je gebruikt het Intigriti-platform alleen om ons op de hoogte te brengen van vastgestelde kwetsbaarheden. Andere feedback, zoals klachten over producten en diensten van KBC, behandelen we niet.
  • Je brengt KBC onverwijld op de hoogte van je bevindingen.
  • Je maakt geen informatie over het onderzoek dat je hebt gevoerd openbaar zonder voorafgaande toestemming van KBC, tenzij dat wettelijk verplicht is.
  • Je verstrekt KBC alle informatie die het nodig heeft om de bevinding te reproduceren en passende maatregelen te nemen.

Beloningen

Je kunt in aanmerking komen voor een beloning als aanmoediging om kwetsbaarheden te melden. De waarde van de beloning hangt af van de impact van de gemelde kwetsbaarheid en wordt altijd door KBC bepaald. Je komt niet in aanmerking voor een beloning als je een werknemer van KBC bent of het afgelopen jaar volgens een overeenkomst voor KBC hebt gewerkt.