We vragen volgende regels na te leven.
- Maak de kwetsbaarheid niet openbaar totdat wij de kwetsbaarheid hebben kunnen corrigeren. Zie hieronder voor eventuele publicatie achteraf.
- Misbruik de kwetsbaarheid niet door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken. Of door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen.
- Pas de volgende handelingen niet toe:
- het plaatsen van malware (virus, worm, Trojaans paard enzovoort);
- het kopiëren, wijzigen of verwijderen van gegevens in een systeem;
- het aanbrengen van veranderingen in het systeem;
- het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;
- het gebruikmaken van geautomatiseerde scantools;
- het gebruikmaken van het zogeheten 'bruteforcen' van toegang tot systemen;
- het gebruikmaken van denial-of-service of social engineering (phishing, vishing, spam, ...).
- Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
- Wis alle gegevens die zijn verkregen via de kwetsbaarheid meteen na de melding.
- Voer geen handelingen uit die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel naar beschikbaarheid als naar performantie toe, maar ook naar confidentialiteit en integriteit van de data toe.
Handelingen onder deze Responsible Disclosure Policy moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren, en het delen van deze informatie met de groep stad Antwerpen.
Indien je, nadat de kwetsbaarheid is verwijderd, over de kwetsbaarheid wenst te publiceren, verzoeken wij je om ons dit minstens één maand voor de publicatie te melden, en om ons de mogelijkheid te geven hierop te reageren. Ons identificeren, rechtstreeks of onrechtstreeks, in een publicatie kan slechts na ons uitdrukkelijk akkoord.