Zwakke plekken in IT-systemen melden

Responsible disclosure

We willen onze klanten veilig laten bankieren. Daarom verbeteren we onze systemen en processen continu, om deze betrouwbaar te houden. Ziet u toch een zwakke plek in een IT-systeem? Dan stellen we het op prijs als u dit aan ons wilt melden.

Werk met ons samen aan een oplossing

Fouten komen voor, we willen deze niet verbergen. Maar als u zwakke plekken in onze IT-systemen openbaar maakt zonder eerst met ons te overleggen, kan dat ernstige gevolgen hebben. Hoe goed uw bedoeling ook is. Criminelen kunnen uw informatie gebruiken en zo bijvoorbeeld internetfraude plegen. Daarom vragen we u de fout eerst aan ons te melden en samen met ons te werken aan een oplossing. Zo kunnen we voorkomen dat er fraude plaatsvindt of dat systemen uitvallen.

Veilig bankieren

Uw melding doorgeven

 

Wat kunt u melden?

U kunt, liefst zo snel mogelijk, alle soorten zwakke plekken in onze IT-systemen melden:

  • cross-scripting-kwetsbaarheden
  • SQL-injectie-kwetsbaarheden
  • encryptie-zwakheden, etc.

Hoe geeft u een melding door?

  1. Vul dit formulier in
  2. Verstuur dit per e-mail
  3. Versleutel uw bericht met deze PGP-sleutel

Wat doen we met uw melding?

 

We nemen contact met u op

Een team van beveiligingsexperts onderzoekt uw melding en neemt binnen 2 werkdagen contact met u op. Dat kan gaan over de door u gevonden zwakke punten, hoe u die heeft gevonden en de vervolgacties.

Uw privacy

We zullen uw persoonsgegevens alleen gebruiken om actie te ondernemen naar aanleiding van uw melding. We geven uw persoonsgegevens in principe niet aan anderen zonder uw toestemming.

Belangrijk

 

Houd u aan de spelregels

Tijdens uw onderzoek kan het zijn dat u handelingen uitvoert die strafbaar zijn. Houdt u zich aan de regels voor het melden van zwakke plekken in onze IT-systemen, dan doen we geen aangifte en dienen we geen schadeclaim in.

Strafbare feiten

We kunnen u niet beloven dat u nooit vervolgd zult worden als u bij uw onderzoek strafbare feiten begaat. Ook als we geen aangifte doen. De Officier van Justitie beslist namelijk altijd zelf of u vervolgd wordt. Wij gaan daar niet over.

 

De spelregels

Deze regels zijn gebaseerd op de richtlijnen van het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie.

  1. Wees verantwoordelijk en voorzichtig. 
  2. Gebruik alleen methoden die nodig zijn om de zwakheden te vinden of aan te tonen.
  3. Beveilig uw eigen systemen zo goed mogelijk.
  4. Gebruik zwakheden die u ontdekt alleen voor uw eigen onderzoek en niet voor iets anders.
  5. Gebruik geen social engineering of brute-force aanvallen om toegang te krijgen tot een systeem.
  6. Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door een backdoor wordt een systeem nog onveiliger.
  7. Wijzig of verwijder geen gegevens in het systeem.
  8. Kopieer nooit meer gegevens dan nodig is. Is 1 record voldoende voor uw onderzoek? Ga dan niet verder.
  9. Lukt het om een systeem binnen te dringen? Doe dit dan niet vaker dan nodig is. 
  10. Deel eventuele toegang tot een systeem niet met anderen.

Veelgestelde vragen

Ja, we kunnen u een beloning geven voor uw onderzoek. We zijn daartoe echter niet verplicht. U heeft dus niet zonder meer recht op een vergoeding. De hoogte van een beloning staat ook niet van tevoren vast. Die wordt door ons bepaald. Of we een beloning geven en de hoogte daarvan, hangt onder meer af van:

  • De zorgvuldigheid van uw onderzoek
  • De kwaliteit van uw melding
  • De omvang van de eventuele schade die door uw melding wordt voorkomen.

Maak zwakke plekken in onze IT-systemen of uw onderzoek nooit openbaar zonder overleg met ons. Zo kunnen we samen voorkomen dat criminelen misbruik maken van uw informatie. Overleg met onze beveiligingsexperts en geef ons de tijd om het probleem op te lossen.

Ja. U hoeft uw naam en contactgegevens niet door te geven als u een melding doet. Bedenk dan wel dat we niet met u kunnen overleggen over de vervolgstappen. Bijvoorbeeld over wat we met uw melding doen, verdere samenwerking, uw credits zoals naamsvermelding of over een eventuele beloning.