Verantwoorde bekendmaking

Gebruiksvoorwaarden

NMBS hecht veel belang aan de beveiliging van haar netwerken en informatiesystemen, met name door toe te zien op de bescherming van haar klantgegevens. Ondanks alle beschermingsmaatregelen die wij nemen, is het niet uitgesloten dat er kwetsbaarheden blijven bestaan en dreigen te worden misbruikt. Als je een beveiligingsprobleem in onze netwerken en/of systemen vaststelt, geven we je de mogelijkheid om ons daarvoor op een verantwoorde manier te waarschuwen zodat we het probleem snel kunnen oplossen. Om dat op een georganiseerde en veilige manier te laten verlopen, vragen we je om onderstaande regels te volgen.

Wat te doen wanneer je een beveiligingsprobleem vaststelt?

Meld het probleem door een e-mail te sturen aan disclosure@b-rail.be.

Voor de melding gelden volgende regels:

• Schrijf je bericht in het Nederlands, Frans of Engels.
• Beschrijf het probleem volledig en in detail. Vermeld in je beschrijving of in de bijlagen alle informatie of voorbeelden waarover je beschikt: IP-adressen, logs, screenshots, betrokken URL's, enz. Het is belangrijk dat we de kwetsbaarheid zelf kunnen terugvinden om ze weg te werken.
• Mogelijk willen we je contacteren om bijkomende informatie te vragen. Indien je liever anoniem wil blijven dan kan dat. Gebruik dan een anonieme email forwarding dienst (vb. trashmail.com, …).  
• Maak geen informatie over het veiligheidsgebrek bekend langs andere kanalen. Deel geen informatie over de kwetsbaarheid met derden, ook niet voor of nadat je NMBS erover hebt ingelicht of nadat het probleem is opgelost. Een dergelijk gedrag zou als onverantwoordelijk beschouwd worden en er zou een klacht tegen je kunnen worden neergelegd.
• Maak geen misbruik van de vastgestelde kwetsbaarheid. Verzamel alleen de informatie die nodig is om ons het probleem toe te lichten.
• Wijzig en verwijder de systeemgegevens of -parameters niet. Zorg er in het algemeen voor dat je de goede werking van onze systemen niet verstoort. Inbraaktechnieken van het type DoS- of DDoS-aanval, de installatie van malware of virussen, brute force password guessing (afhandig maken van wachtwoorden met veel rekenkracht), diefstal van wachtwoorden, scannen van onze systemen, phishing, enz., maar ook social-engineeringaanvallen en alle inbreuken in het algemeen zullen worden beschouwd als gerichte aanvallen en er zou een klacht tegen je kunnen worden neergelegd. Als er een test moet worden uitgevoerd, zullen we die zelf verrichten.

Welke problemen kan je langs deze weg melden?

• Je kunt kwetsbaarheden van onze beveiliging melden. Het gaat om elke kwetsbaarheid, die kan worden misbruikt voor ongeoorloofde doeleinden, en die zich voordoet op één van onze websites:
  
  • www.nmbs.be; www.sncb.be; www.belgianrail.be; www.b-rail.be;
  • www.b-europe.be;  www.b-europe.com;
  • www.nmbs.tv;
  • www.trainworld.be
• Onze mobiele en webapplicaties
• Onze netwerken en informatiesystemen

Welke problemen kan je langs dit kanaal niet melden?

• Vragen en klachten over de producten en diensten van NMBS
• Vragen over het gebruik van jouw wachtwoorden
• Vragen over spam of phishing(pogingen)

Neem daarvoor contact op met onze NMBS klantendienst.

Wat gebeurt er verder met de melding?

• We bezorgen jou een antwoord binnen twee weken.
• We zullen je opnieuw contacteren als we bijkomende informatie nodig hebben.
• We stellen alles in het werk om het probleem snel en doeltreffend op te lossen.
• We brengen je op de hoogte zodra het probleem is opgelost.
• Indien je handelingen aan bovenstaande regels voldoen, zullen we geen gerechtelijke vervolging tegen je instellen.