Tussen

De publiekrechtelijke vereniging met rechtspersoonlijkheid MAATSCHAPPIJ VOOR HET INTERCOMMUNAAL VERVOER - SOCIETE DES TRANSPORTS INTERCOMMUNAUX, met maatschappelijke zetel te 1000 Brussel, Koningsstraat 76, en ingeschreven onder het ondernemingsnummer 0247.499.953, RPR Brussel, vertegenwoordigd door de heer Brieuc de Meeûs, CEO (hierna genoemd “MIVB”);

en

Elke natuurlijke persoon die zich ertoe verbindt dit beleid na te leven en die de intentie heeft om IT-gerelateerde kwetsbaarheden te identificeren en/of te bevestigen voor ten minste één van de doelwitten die onder dit beleid vallen (hierna genoemd “Deelnemer”).

Toepassingsgebied van het beleid

Vanuit de bekommernis om het prestatievermogen en de beveiliging van onze netwerk- en informatiesystemen te verbeteren, hebben wij ervoor gekozen een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden in te voeren. Dit beleid biedt de Deelnemer de mogelijkheid om met goede bedoelingen mogelijke kwetsbaarheden op te sporen in systemen, uitrusting en producten die eigendom zijn van de MIVB, en om ons alle informatie over een ontdekte kwetsbaarheid mee te delen.

De toegang tot onze digitale systemen en uitrusting wordt evenwel uitsluitend verleend met de bedoeling de algemene beveiliging van de MIVB te verbeteren, ons te informeren over de vastgestelde kwetsbaarheden, en met strikte inachtneming van de voorwaarden zoals bepaald in dit document.

De Deelnemer is gemachtigd om informaticagegevens in ons informaticasysteem in te voeren of dit te proberen, en om zich te richten op de activa van de MIVB met behulp van in de sector erkende ethische hackingtools of zelfgeschreven scripts, op voorwaarde dat deze in overeenstemming zijn met de doeleinden en voorwaarden van dit beleid. Indien de Deelnemer de hulp van een derde wenst in te roepen om zijn of haar onderzoek uit te voeren, moet hij of zij ervoor zorgen dat deze derde op de hoogte is van dit beleid, ermee instemt en meewerkt aan de naleving ervan. De Deelnemer erkent dat hij/zij te allen tijde volledig verantwoordelijk blijft voor de handelingen (of het nalaten daarvan) van deze derde.

Het beleid beschouwt de volgende elementen als binnen het toepassingsgebied:

• Systemen, diensten, websites en Application Programming Interfaces (API’s) die via het internet toegankelijk zijn en gehost worden door de MIVB
• Mobiele applicaties van de MIVB die gepubliceerd zijn op Google Play of de Apple App Store
• Draadloze en bekabelde netwerken van de MIVB die toegankelijk zijn vanuit publiek toegankelijke ruimtes
• Hardware van de MIVB (Informatietechnologie/Operationele Technologie) die publiek toegankelijk is

Belangrijk: Onze sociale mediakanalen vallen buiten het toepassingsgebied van dit beleid, evenals alle andere systemen die afhankelijk zijn van derden, tenzij de betrokken derde partij vooraf uitdrukkelijk akkoord gaat met de bepalingen van dit beleid.

Onderzoek uitvoeren op informatiesystemen die niet uitdrukkelijk onder dit beleid vallen, kan aanleiding geven tot gerechtelijke vervolging van de Deelnemer.

Wederzijdse verplichtingen van de partijen

Bekwaamheid

De Deelnemer moet een natuurlijke persoon zijn die beschikt over de nodige vaardigheden, kennis, expertise en ervaring om beveiligingstests uit te voeren op onze systemen, met als doel kwetsbaarheden te identificeren, te bevestigen en te melden, en dit in overeenstemming met alle toepasselijke wet- en regelgeving.

Evenredigheid

De Deelnemer verbindt zich ertoe om bij al zijn/haar activiteiten het evenredigheidsbeginsel strikt na te leven, dat wil zeggen de beschikbaarheid van de door het systeem geleverde diensten niet te verstoren en geen gebruik te maken van de kwetsbaarheid buiten wat strikt noodzakelijk is voor het aantonen van het beveiligingsprobleem. Zijn/haar aanpak moet evenredig blijven: indien de kwetsbaarheid op kleine schaal is aangetoond, mag geen verdere actie worden ondernomen.

Het is niet de bedoeling van de Deelnemer om opzettelijk kennis te vergaren van de inhoud van informaticagegevens, communicatiegegevens, persoonsgegevens of andere relevante gegevens van de MIVB. Dergelijke kennisname mag enkel toevallig plaatsvinden in het kader van het opsporen van kwetsbaarheden.

Verboden acties

De volgende acties zijn niet toegestaan voor de Deelnemer:

• het kopiëren, wijzigen of verwijderen van gegevens uit het doelwit informaticasysteem;
• het wijzigen van (systeem)parameters;
• het installeren van malware: virussen, wormen, Trojaanse paarden of andere kwaadaardige software;
• "social engineering"-aanvallen;
• phishing-aanvallen;
• aanvallen via ongewenste mails (spamming);
• diefstal van paswoorden of “brute force”-aanvallen;
• het installeren van een toestel dat het mogelijk maakt om digitale communicatie te onderscheppen, op te slaan of er kennis van te nemen op plaatsen die niet toegankelijk zijn voor het publiek;
• "Distributed Denial of Service"-aanvallen (DDoS);
• het opzettelijk verstoren van de bedrijfsactiviteiten;
• het opzettelijk onderscheppen, opslaan of ontvangen van fysieke communicatie;
• het opzettelijk gebruiken, bijhouden, meedelen of verspreiden van de inhoud van niet voor het publiek toegankelijke communicatie of van gegevens uit een informaticasysteem waarvan de Deelnemer redelijkerwijze had moeten weten dat ze onwettig werden verkregen.

Vertrouwelijkheid

Zonder voorafgaande en uitdrukkelijke én expliciete schriftelijke toestemming van de Corporate Information Security Officer van de MIVB (vulnerability@stib-mivb.brussels), mag de Deelnemer in geen geval informatie die tijdens zijn/haar onderzoek werd verzameld, meedelen aan of verspreiden onder derden.

Deze verbodsbepaling heeft betrekking op logbestanden, bewijsmateriaal, informaticagegevens, communicatiegegevens en persoonsgegevens.

De Deelnemer wordt geacht alle verzamelde informatie op een veilige manier te vernietigen nadat hij/zij de vaststellingen heeft gerapporteerd aan het beveiligingsteam van de MIVB, overeenkomstig de procedure zoals beschreven in dit document.

Om de vertrouwelijkheid te waarborgen, is het de Deelnemer niet toegestaan om tijdens het onderzoek gegevens in de cloud op te slaan, tenzij deze gegevens zowel tijdens de overdracht als in rust versleuteld zijn.

Uitvoering te goeder trouw

De MIVB verbindt zich ertoe dit beleid te goeder trouw uit te voeren en is niet van plan om burgerrechtelijke of strafrechtelijke stappen te ondernemen tegen een Deelnemer, op voorwaarde dat hij/zij handelt in overeenstemming met de doeleinden en voorwaarden zoals uiteengezet in dit beleid.

De Deelnemer mag geen bedrieglijk opzet hebben, geen oogmerk om schade te berokkenen, noch de wil om misbruik te maken van of schade toe te brengen aan het bezochte systeem of aan de gegevens ervan.

Bij twijfel over bepaalde voorwaarden van dit beleid moet de Deelnemer vooraf contact opnemen met de Corporate Information Security Officer van de MIVB (vulnerability@stib-mivb.brussels) en diens schriftelijke toestemming en/of verduidelijking verkrijgen alvorens te handelen.

Verwerking van persoonsgegevens

De verwerking van persoonsgegevens heeft een ruime betekenis en omvat onder meer het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van het oordeel van de Deelnemer, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, omkeerbaar geanonimiseerde gegevens, online identificator, Internet Protocol-adres, enz.).

De Deelnemer mag geen persoonsgegevens opzettelijk verwerken, maar het is mogelijk dat hij/zij, zelfs toevallig, persoonsgegevens moet verwerken in het kader van zijn/haar onderzoek naar kwetsbaarheden. In dat geval verbindt de Deelnemer zich ertoe alle nodige maatregelen te nemen om te voldoen aan de wettelijke verplichtingen inzake gegevensbescherming [1] en om persoonsgegevens uitsluitend te verwerken volgens de instructies van de MIVB en de voorwaarden van dit beleid, met name:

• De Deelnemer verbindt zich ertoe persoonsgegevens uitsluitend te verwerken met het oog op het opsporen van kwetsbaarheden die onder dit beleid vallen. Iedere verwerking van persoonsgegevens voor een ander doel is verboden.
• De Deelnemer beperkt de verwerking van persoonsgegevens tot het strikt noodzakelijke om de kwetsbaarheid te identificeren of te bevestigen.
• De deelnemer waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
• De Deelnemer neemt passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico (bijv. versleuteling).
• De Deelnemer verbindt zich ertoe de MIVB, voor zover mogelijk, bij te staan bij de uitvoering van haar verplichtingen inzake de uitoefening van de rechten van betrokkenen.
• De Deelnemer verbindt zich ertoe de Data Protection Officer van de MIVB (dpo@stib-mivb.brussels) zo snel mogelijk te informeren zodra hij/zij kennis krijgt van enige persoonsgegevens.
• De Deelnemer mag eventuele verwerkte persoonsgegevens niet langer bijhouden dan strikt noodzakelijk. Gedurende deze periode moet hij/zij ervoor zorgen dat deze gegevens worden opgeslagen met een beveiligingsniveau dat is afgestemd op de risico’s (bij voorkeur versleuteld).
• De Deelnemer verbindt zich ertoe alle (persoons)gegevens onmiddellijk te verwijderen nadat het rapport en het bijbehorende bewijsmateriaal zijn ingediend.
• De Deelnemer houdt, voor zover mogelijk en overeenkomstig artikel 30, § 2 van de Algemene Verordening Gegevensbescherming (AVG), een register bij van de categorieën van verwerkingsactiviteiten die namens de MIVB zijn uitgevoerd, met inbegrip van een beschrijving van de genomen beveiligingsmaatregelen.

De Deelnemer erkent dat hij/zij volledig aansprakelijk blijft indien de derde waarop hij/zij een beroep doet zijn verplichtingen inzake gegevensbescherming niet nakomt.

Indien de Deelnemer persoonsgegevens verwerkt die door onze organisatie worden opgeslagen en/of op enige andere wijze worden verwerkt, op een manier die strijdig is met dit beleid of voor andere doeleinden dan het opsporen van mogelijke kwetsbaarheden in onze systemen, producten en uitrusting, erkent hij/zij dat hij/zij zal worden beschouwd als verwerkingsverantwoordelijke en volledig aansprakelijk zal zijn voor de verwerking die hij/zij uit dien hoofde heeft uitgevoerd.

Beloning en compensatie

Wij zijn oprecht dankbaar voor uw bijdrage aan de beveiliging van onze digitale infrastructuur en systemen. De MIVB voorziet echter geen enkele vorm van compensatie, noch in geld, noch via enige andere vorm van vergoeding, bij het indienen van een kwetsbaarheidsrapport.

[1] Verordening (eu) 2016/679 van het Europees Parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

Fasen van de procedure voor het melden van beveiligingskwetsbaarheden

Fase 1: Ontdekking en identificatie

Wanneer een deelnemer informatie over een mogelijke kwetsbaarheid ontdekt, moet hij voor zover mogelijk vooraf controles uitvoeren om het bestaan van de kwetsbaarheid te bevestigen en eventuele risico’s te identificeren.

Fase 2: Melding - indienen van het kwetsbaarheidsrapport

De Deelnemer verbindt zich ertoe om zo snel mogelijk alle technische informatie en bewijselementen met betrekking tot de mogelijke kwetsbaarheid of kwetsbaarheden te bezorgen via email naar vulnerability@stib-mivb.brussels (zie bijlage 1 voor een rapportmodel).

Indien het nodig is om grote bestanden over te maken, kan de onderzoeker het rapport indienen met de vermelding dat hij/zij grotere bestanden wenst te uploaden of te delen, zodat een passende oplossing kan worden gezocht. Gelieve in dat geval de totale bestandsgrootte te vermelden.

Enkel meldingen die binnen het toepassingsgebied van dit beleid vallen, zullen worden bevestigd. Een dergelijk ontvangstbericht kan een interne referentie bevatten en/of een herinnering aan de voornaamste verplichtingen van het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden, evenals de volgende stappen van de procedure.

Fase 3: Communicatie

De Deelnemer en de MIVB verbinden zich ertoe om naar best vermogen constructief samen te werken om een permanente en doeltreffende communicatie te garanderen, die nodig kan zijn om de kwetsbaarheid correct te identificeren, te reproduceren en/of aan te pakken.

Fase 4: Onderzoek

Tijdens de onderzoeksfase zal de MIVB de omgeving en het gedrag reproduceren om de meegedeelde informatie in het kwetsbaarheidsrapport te verifiëren.

Tijdens deze fase zal de MIVB ook nagaan of gelijkaardige systemen mogelijk getroffen kunnen zijn.

Fase 5: Ontwikkeling van een oplossing

Zodra de kwetsbaarheid en de getroffen systemen zijn geïdentificeerd, bestaat het hoofddoel erin om de kwetsbaarheid te verhelpen vóór er schade kan ontstaan.

Tijdens deze fase zal de MIVB een constructieve en duurzame oplossing uitrollen en/of implementeren om de geïdentificeerde kwetsbaarheid aan te pakken, met behoud van de goede werking van de bestaande functionaliteiten.

Eventuele openbare bekendmaking

De MIVB zal – rekening houdend met de standpunten en argumenten van de beveiligingsonderzoeker – beslissen over de mogelijkheid om de geïdentificeerde kwetsbaarheid openbaar te maken. Indien wordt beslist tot openbare bekendmaking, zal de publicatie worden gecoördineerd door de communicatiedienst van de MIVB.

De beveiligingsonderzoeker wordt eraan herinnerd dat hij/zij geen enkele informatie mag onthullen of delen zonder de voorafgaande en uitdrukkelijke schriftelijke toestemming van de Corporate Information Security Officer van de MIVB (vulnerability@stib-mivb.brussels). Dit verbod geldt voor logbestanden, bewijsmateriaal, computergegevens, communicatiegegevens en persoonsgegevens, evenals voor elk resultaat of elke uitkomst die voortvloeit uit een van de hierboven beschreven fasen.

Toepasselijk recht

Het Belgisch recht is van toepassing op geschillen in verband met de uitvoering van dit beleid.

Duur

Dit beleid is van toepassing vanaf publicatie op de website totdat het wordt gewijzigd of geschrapt door de MIVB. Wijzigingen of opheffingen worden bekendgemaakt op onze website en zijn automatisch van toepassing.

Klokkenluider