EN - FR - NL

Report a vulnerability in our systems

We consider it important that its information and systems are secure. Despite our efforts in securing our systems, it is possible that vulnerabilities still exists.

If you have found a vulnerability in one of our systems, please let us know! Then, we can take measures as soon as possible. We would like to work with you to better protect our audience and systems.

That is why we opt for a policy of coordinated disclosure of vulnerabilities (also known as 'Responsible Disclosure Policy'), so that you can inform us when you discover a vulnerability. This Responsible Disclosure Policy applies to all systems of the NIHDI. If in doubt, we ask you to contact us.

How to report a vulnerability?

If you discover a vulnerability in one of our systems, we ask you to:

Report the vulnerability as soon as possible after discovery. Send you findings to infosec@riziv-inami.fgov.be and encrypt them with our PGP key to prevent the information from falling into the wrong hands.
Provide sufficient information to reproduce the vulnerability so that we can resolve the issue as quickly as possible. Usually, the IP address or URL of the affected system and a description of the vulnerability is sufficient, but we may require more complex vulnerabilities.
include your contact details, for us to contact you to work together for a safe solution. Provide us with at least your name, e-mail address and/or telephone number. Reporting under a pseudonym is possible, but make sure we can contact you if we require additional information.
Confirm that you have acted and will continue to act in accordance with this Responsible Disclosure Policy.

What are the rules?

We ask you:

Not to disclose the vulnerability until we have resolved it. See below for possible posting afterwards.
Not to abuse the vulnerability by copying, deleting, modifying or viewing data unnecessarily. Or, for example, uploading more data than necessary to demonstrate the vulnerability.
Do not apply the following actions:
- Placement of malicious software (virus, worm, Trojan horse, etc.).
- Copy, modify or delete data in a system.
- Make changes to the system.
- Repeat access to the system or sharing access with others.
- Use of automated analysis tools.
- Use so-called “rough” access to systems.
- Use denial of service or social engineering (phishing, vishing, spam...).
Do not use physical security attacks, social engineering, distributed denial of service, spam or third-party applications.
Immediately delete all data obtained through the vulnerability after reporting.
Do not perform any action that could have a possible impact on the proper functioning of the system, both in terms of availability and performance, but also in terms of confidentiality and data integrity.

Actions under this responsible disclosure policy must be limited to performing tests to identify potential vulnerabilities and sharing this information with us.

If, after the vulnerability is removed, you want to post about the vulnerability, please let us know at least one month before posting and give us the opportunity to respond. Identifying us, directly or indirectly, in a publication is only possible with our express agreement.

What do we promise?

If you have complied with the above terms of the Responsible Disclosure Policy and have not committed any other violations, we will not take legal action against you.
We will respond to your report as soon as possible, if possible within 10 working days, with our assessment of the report and any expected resolution date.
We treat your report confidentially and do not share your personal data with third parties without your consent, unless necessary to comply with a legal obligation.
We will keep you informed of the progress of the resolution of the problem.
As a thank you for each report of an unknown security breach, we offer the possibility of being mentioned in our “Hall of Fame”. "we do not offer any financial compensation or any kind of retribution for the findings.
Our goal is to solve all problems in a short time. If you have any doubts about the applicability of this policy, please contact us first to request explicit permission.

If in doubt about the applicability of this policy, please contact us first to request explicit permission.

We reserve the right to modify the content of this Policy at any time, or to discontinue the Policy.

Contact

infosec@riziv-inami.fgov.be

Signaler une vulnérabilité dans nos systèmes

Nous considérons qu'il est important que nos informations et nos systèmes soient sécurisés. Malgré nos efforts pour sécuriser nos systèmes, il est possible qu'il existe encore une vulnérabilité.

Si vous avez trouvé une vulnérabilité dans l'un de nos systèmes, veuillez nous en informer pour que nous puissions prendre des mesures le plus rapidement possible. Nous aimerions travailler avec vous pour mieux protéger notre public et nos systèmes.

C'est pourquoi nous optons pour une politique de divulgation coordonnée de vulnérabilités (également appelée « Responsible Disclosure Policy »), pour que vous puissiez nous informer lorsque vous découvrez une vulnérabilité.

Cette Responsible Disclosure Policy s'applique à tous les systèmes de l’INAMI. En cas de doute, nous vous demandons de nous contacter.

Comment signaler une vulnérabilité ?

Si vous découvrez une vulnérabilité dans l'un de nos systèmes, nous vous demandons de :

Signaler la vulnérabilité le plus rapidement possible après sa découverte. Envoyez vos constatations à infosec@riziv-inami.fgov.be et cryptez-les avec notre clé PGP pour éviter que les informations ne tombent en de mauvaises mains.
Fournir suffisamment d'informations pour reproduire la vulnérabilité pour que nous puissions résoudre le problème le plus rapidement possible. Habituellement, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités plus complexes peuvent nécessiter plus.
Laisser vos données de contact pour que nous puissions vous contacter afin de travailler ensemble pour un résultat sûr. Laissez au moins votre nom, votre adresse e-mail et/ou votre numéro de téléphone. Le signalement sous un pseudonyme est possible, mais assurez-vous que nous pouvons vous contacter si nous avons des questions supplémentaires.
Confirmer que vous avez agi et continuerez d'agir conformément à cette Responsible Disclosure Policy.

Quelles sont les règles ?

Nous vous demandons :

De ne pas divulguer la vulnérabilité tant que nous n'avons pas pu la corriger. Voir ci-dessous pour une éventuelle publication ultérieure.
De ne pas abuser de la vulnérabilité en copiant, supprimant, modifiant ou visualisant inutilement des données. Ou, par exemple, en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité.
De ne pas effectuer ces actions :

Placer des logiciels malveillants (virus, ver, cheval de Troie, ...).
Copier, modifier ou supprimer des données dans un système.
Apporter des modifications au système.
Accéder de façon répétée au système ou partager l'accès avec d'autres.
Utiliser des outils d'analyse automatisés.
Utiliser ce que l'on appelle l'accès « brute force » aux systèmes.
Utiliser le déni de service ou l'ingénierie sociale (phishing, vishing, spam, ...).

De ne pas utiliser d'attaques contre la sécurité physique, d’ingénierie sociale, de déni de service, de spam ou d'applications tierces.
De supprimer toutes les données obtenues via la vulnérabilité immédiatement après le signalement.
De ne pas effectuer d’actions pouvant avoir un impact possible sur le bon fonctionnement du système, tant en termes de disponibilité et de performance, qu’en termes de confidentialité et d'intégrité des données.

Les actions dans le cadre de cette Responsible Disclosure Policy doivent se limiter à la réalisation de tests pour identifier des vulnérabilités potentielles, et au partage de ces informations avec l'INAMI.

Vous souhaitez publier sur la vulnérabilité après sa suppression ? Signalez-le-nous au moins un mois avant la publication pour que nous puissions réagir. Nous identifier, directement ou indirectement, dans une publication n'est possible qu'avec notre accord exprès.

Que promettons-nous ?

Si vous avez respecté les conditions ci-dessus de cette Responsible Disclosure Policy et n'avez commis aucune autre violation, nous n'engagerons aucune action en justice contre vous.
Nous répondrons à votre signalement dans un court laps de temps, si possible dans les 10 jours ouvrables, avec notre évaluation du signalement et toute date de résolution prévue.
Nous traitons votre signalement de manière confidentielle et ne partageons pas vos données personnelles avec des tiers sans votre consentement, sauf si cela est nécessaire pour se conformer à une obligation légale.
Nous vous tiendrons au courant de l'avancement de la résolution du problème.
En guise de remerciement pour chaque signalement d'une faille de sécurité inconnue, nous offrons la possibilité d'être mentionné dans notre « Hall of Fame » , par contre nous n'offrons aucune compensation financière ni aucune forme de rétribution.
Nous nous efforçons de résoudre tous les problèmes dans un court laps de temps.
Nous nous réservons le droit de ne pas réagir aux vulnérabilités pour lesquelles nous acceptons les risques.

Si vous avez des doutes sur l'applicabilité de cette politique, veuillez d'abord nous contacter pour demander une autorisation explicite.

Nous nous réservons le droit de modifier le contenu de cette politique ou d’y mettre fin, à tout moment.

Contact

infosec@riziv-inami.fgov.be

Een kwetsbaarheid in onze systemen melden

Het RIZIV vindt het belangrijk dat zijn informatie en systemen veilig zijn. Ondanks onze zorg voor de beveiliging van deze systemen, kan het gebeuren dat er toch een kwetsbaarheid is.

Als u een kwetsbaarheid in één van onze systemen hebt gevonden, dan horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. We willen graag met u samenwerken om ons publiek en onze systemen beter te kunnen beschermen.

Daarom kiezen we voor een beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’), zodat u ons kan informeren wanneer je een kwetsbaarheid ontdekt.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van het RIZIV. Bij elke twijfel vragen we om contact op te nemen.

Hoe kan u een kwetsbaarheid melden?

Als u een kwetsbaarheid ontdekt in één van onze systemen, vragen wij om:

De kwetsbaarheid zo snel mogelijk na de ontdekking te melden. Mail uw bevindingen infosec@riziv-inami.fgov.be en versleutel ze met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.
Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat we het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Uw contactgegevens achter te laten, zodat we u kunnen contacteren om samen te werken aan een veilig resultaat. Laat minstens uw naam, e-mailadres en/of telefoonnummer achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat we u kunnen contacteren als we bijkomende vragen hebben.
Te bevestigen dat u conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen.

Wat zijn de regels?

We vragen u:

De kwetsbaarheid niet openbaar maken tot we dit hebben kunnen corrigeren. Zie hieronder voor eventuele publicatie achteraf.
De kwetsbaarheid niet misbruiken door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken. Of door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen.
De volgende handelingen niet toepassen:
- Het plaatsen van malware (virus, worm, Trojaans paard...).
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Het gebruikmaken van geautomatiseerde scantools.
- Het gebruikmaken van het zogeheten 'bruteforcen' van toegang tot systemen.
- Het gebruikmaken van denial-of-service of social engineering (phishing, vishing, spam...).
Geen gebruikmaken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
Alle gegevens die zijn verkregen via de kwetsbaarheid meteen wissen na de melding.
Geen handelingen uitvoeren die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel naar beschikbaarheid als naar performantie toe, maar ook naar confidentialiteit en integriteit van de data toe.

Handelingen onder deze Responsible Disclosure Policy moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren, en het delen van deze informatie met het RIZIV.

Wil u publiceren over de kwetsbaarheid, nadat ze is verwijderd? Meld dit minstens een maand voor de publicatie zodat we kunnen reageren indien nodig. Ons identificeren, rechtstreeks of onrechtstreeks, in een publicatie kan slechts na ons uitdrukkelijk akkoord.

Wat beloven wij?

Als u zich aan bovenstaande voorwaarden van de Responsible Disclosure Policy hebt gehouden en geen andere inbreuken hebt begaan, zullen we geen juridische stappen tegen u ondernemen.
We reageren binnen een korte termijn, indien mogelijk binnen de 10 werkdagen, op uw melding met onze beoordeling van de melding en een eventuele verwachte datum voor een oplossing.
We behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet zonder uw toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
We houden u op de hoogte van de voortgang van het oplossen van het probleem.
Als dank voor elke melding van een nog onbekend beveiligingsprobleem, bieden we de mogelijkheid om vermeld te worden in onze 'Hall of Fame'. We geven geen financiële compensatie of enige vorm van betaling voor de bevindingen.
We streven ernaar om alle problemen binnen een korte termijn op te lossen.
We behouden ons het recht voor om niet te reageren op kwetsbaarheden waarvoor we risico accepteren.

Gelieve bij twijfel over de toepasbaarheid van deze policy eerst contact op te nemen om expliciete toestemming te vragen.

Wij behouden ons het recht voor om de inhoud van deze policy op elk gewenst moment te wijzigen, of om de policy te beëindigen.

Contact

infosec@riziv-inami.fgov.be