1. Introducere
RAENBI (se deschide în fereastră nouă) apreciază contribuția cercetătorilor de securitate la protejarea utilizatorilor și a infrastructurii ghid.be. Această politică stabilește cadrul pentru raportarea responsabilă a vulnerabilităților (Coordinated Vulnerability Disclosure — CVD).
Ne angajăm să colaborăm cu cercetătorii de bună-credință și să remediem vulnerabilitățile confirmate într-un termen rezonabil.
2. Domeniul de aplicare
Această politică acoperă următoarele sisteme:
- ghid.be — site-ul public
3. Cum raportați o vulnerabilitate
Trimiteți raportul la: security@ghid.be.
TODO(pgp-key) — cheia PGP pentru comunicare criptată va fi publicată aici după generare.
Includeți în raport: o descriere clară a vulnerabilității, pașii de reproducere, impactul potențial estimat și, dacă este posibil, o sugestie de remediere.
Vom confirma primirea raportului în cel mult 3 zile lucrătoare.
4. Reguli safe-harbour
Cadrul belgian pentru divulgarea coordonată a vulnerabilităților (CVD) este stabilit prin Legea din 26 aprilie 2024 (transpunerea Directivei NIS2 — (UE) 2022/2555), care permite raportarea unei vulnerabilități către Centre for Cybersecurity Belgium (CCB/CERT.be) și prevede protecția cercetătorilor de bună-credință care respectă condițiile de mai jos. Acest cadru a preluat și a înăsprit safe-harbour-ul introdus inițial prin legea avertizorilor din 28 noiembrie 2022.
Nu vom iniția acțiuni judiciare împotriva cercetătorilor care respectă aceste reguli, iar dacă o terță parte ar iniția acțiuni, vom sprijini constatarea bunei-credințe.
- Acționați cu bună-credință și în mod proporțional — testarea vizează doar confirmarea vulnerabilității
- NU exfiltrați, copiați, modificați sau ștergeți date personale ale altor utilizatori
- NU efectuați atacuri de tip Denial of Service (DoS/DDoS)
- NU utilizați inginerie socială sau phishing împotriva echipei sau utilizatorilor
- NU instalați backdoor-uri sau nu mențineți acces persistent
- NU divulgați public vulnerabilitatea înainte de remedierea confirmată de operator sau înainte de expirarea unui termen rezonabil (90 de zile)
- Raportați vulnerabilitatea exclusiv pe canalul privat indicat (security@ghid.be)
5. Termenul de răspuns
Confirmare primire: cel mult 3 zile lucrătoare.
Evaluare și comunicare plan de acțiune: cel mult 14 zile calendaristice.
Remediere: termen rezonabil, în funcție de severitate (obiectiv: sub 90 de zile).
Vă vom ține la curent cu progresul remedierii.
6. Recunoaștere
Cu acordul dumneavoastră, vom menționa contribuția într-o secțiune de mulțumiri (opțional).
Ghid.be nu operează un program de recompense financiare (bug bounty) la data prezentei politici.
7. Tipuri de rapoarte excluse
Următoarele categorii NU intră sub incidența acestei politici:
- Rapoarte despre conținut editorial (inexactități factuale) — acestea se raportează prin formularul de contact
- Vulnerabilități în software terț care nu este sub controlul direct al ghid.be
- Rezultate ale scanerelor automate fără o demonstrație clară de impact
- Probleme care necesită acces fizic la dispozitivul unui utilizator
8. Fișierul security.txt
Conform RFC 9116, fișierul /.well-known/security.txt este disponibil la adresa
Acesta conține informațiile de contact esențiale pentru raportarea vulnerabilităților în format standardizat.
9. Surse
Cadrul legal și normativ aplicabil:
- Loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (transpunere NIS2, Directiva (UE) 2022/2555; cadrul CVD belgian) — Moniteur belge (se deschide în fereastră nouă)
- Politica CVD a Centre for Cybersecurity Belgium (CCB/Safeonweb) (se deschide în fereastră nouă)
- ISO/IEC 29147:2018 — Information technology — Security techniques — Vulnerability disclosure (se deschide în fereastră nouă)
- ENISA Good Practice Guide on Vulnerability Disclosure (se deschide în fereastră nouă)
- RFC 9116 — A File Format to Aid in Security Vulnerability Disclosure (se deschide în fereastră nouă)