Overslaan naar inhoud

Responsible Disclosure Policy

Laatste herziening: 16 april 2026

Inleiding

Bij Comoo hechten wij zeer veel belang aan de beveiliging van onze systemen. Ondanks de zorg die wij besteden aan de beveiliging van onze systemen, is het altijd mogelijk dat er zich een kwetsbaarheid voordoet in onze platformen of systemen.

Indien u een kwetsbaarheid of een beveiligingslek vermoedt of heeft vastgesteld in één van onze systemen, fysiek of digitaal, vragen wij u ons hiervan op de hoogte te brengen zodat wij zo snel mogelijk passende beveiligingsmaatregelen kunnen nemen. Wij werken graag met u samen om onze systemen, onze klanten en ons ecosysteem beter te beschermen.


Toepassingsgebied

Dit beleid is van toepassing op alle geïnteresseerde partijen en stakeholders van Comoo voor alle Comoo diensten en platformen.


Doelgroep

Wij vragen de medewerking van de doelgroepen die binnen dit toepassingsgebied vallen, waaronder, maar niet beperkt tot:
  • Websitebezoekers,
  • Fysieke bezoekers op Comoo locaties,
  • Werknemers en medewerkers,
  • Klanten,
  • Aannemers en partners,
  • Prospecten,


Protocol

Wij vragen u om:

  • Voldoende informatie te verstrekken om het probleem te kunnen reproduceren zodat wij dit zo snel mogelijk kunnen oplossen. Meestal volstaan het IP-adres of de URL van het betrokken systeem en een beschrijving van de kwetsbaarheid, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Uw bevindingen te versleutelen met onze PGP-sleutel om te voorkomen dat deze informatie in verkeerde handen terechtkomt.
  • Uw bevindingen te e-mailen naar security@Comoo.be.


Gelieve u te onthouden van:

  • Misbruik te maken van het probleem, bijvoorbeeld door meer gegevens te downloaden dan nodig is om het lek aan te tonen, of door gegevens van derden te bekijken, te verwijderen of te wijzigen,
  • Het delen van het probleem met anderen zolang het niet is opgelost, en het onmiddellijk wissen van alle vertrouwelijke gegevens die via het lek werden verkregen na het dichten ervan,
  • Aanvallen op fysieke beveiliging, social engineering, gedistribueerde denial-of-service‑aanvallen, spam of toepassingen van derden, en het op welke manier dan ook beschadigen van onze platformen of het beïnvloeden van de prestaties van deze systemen.


Wees aandachtig voor:

Er dient een wettelijk protocol gevolgd te worden (zie juridische referentie hieronder).

Elke illegale toegang tot onze systemen kan en zal vervolgd worden in de ruimst mogelijke mate indien dit wettelijke protocol niet wordt nageleefd.


Wat wij beloven:

  • Wij zullen zo snel mogelijk reageren op uw melding, uiterlijk binnen vijf werkdagen, met onze eerste beoordeling van de melding en een verwachte datum voor oplossing,
  • Indien u heeft voldaan aan bovenstaande voorwaarden en aan de wettelijke voorwaarden inzake cyberwetgeving, zullen wij geen juridische stappen tegen u ondernemen met betrekking tot de melding,
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet met derden zonder uw toestemming, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting. Melden onder een pseudoniem is mogelijk,
  • Wij houden u op de hoogte van de voortgang bij het oplossen van het probleem,
  • Bij het informeren over het gemelde probleem vermelden wij, indien u dat wenst, uw naam als ontdekker, en 
  • Afhankelijk van de ernst kan Comoo een beloning overwegen, maar dit wordt geval per geval beoordeeld en uitsluitend naar eigen inzicht van Comoo. Over de beloning wordt niet onderhandeld.


Publicatie van de oplossing:

  • Enkel Comoo beslist over publieke of officiële communicatie en publicatie over deze kwetsbaarheden.
  • Publicatie is niet toegestaan zonder akkoord en validatie door Comoo.

 

Dankbetuiging:

Dit responsible disclosure beleid is gebaseerd op het open source project onder de Creative Commons v3 licentie: https://responsibledisclosure.nl/.


Juridische referentie:

Houd er rekening mee dat het melden van digitale kwetsbaarheden wettelijk is gereguleerd.

Aangezien het hoofdkantoor van Comoo in België is gevestigd, is de Belgische wetgeving inzake vulnerability disclosure van toepassing.

In het kort (citaat van de website van het CCB):

  • U moet zich strikt beperken tot de feiten die noodzakelijk zijn om een kwetsbaarheid te melden. U mag dus niet verder gaan dan wat noodzakelijk en proportioneel is om het bestaan van een kwetsbaarheid te verifiëren.
  • U moet handelen zonder frauduleus opzet of intentie om schade te berokkenen.
  • Zo snel mogelijk na de ontdekking van de potentiële kwetsbaarheid, en uiterlijk bij melding aan het nationale CSIRT, moet u de organisatie die verantwoordelijk is voor het systeem, proces of de controle op de hoogte brengen.
  • U moet de vastgestelde kwetsbaarheid zo snel mogelijk melden aan het CCB, bij afwezigheid van een CVDP, schriftelijk en volgens de procedures beschreven in punt D van het CCB beleid.
  • U mag geen informatie over de ontdekte kwetsbaarheid publiek maken zonder akkoord van het nationale CSIRT (CCB).

Meer informatie: https://ccb.belgium.be/en/vulnerability-reporting-ccb.


Algemene bedrijfsinformatie

https://www.comoo.be/

Contact: https://www.Comoo.be/contactus 

 

Bedrijfsregistratie (HQ, België): BE725.425.683

Comoo HQ

Administratief adres: Waterloolaan 77 / W6.03 1000 Brussel

Operationeel hoofdkantoor: Schaarbeeklei 485, 1800 Vilvoorde

Telefoon: +32 2 255 82 20

E-mail: security@comoo.be