Responsible Disclosure

Zwakke plekken in IT-systemen melden

We willen dat onze klanten veilig een lening bij ons kunnen afsluiten. Daarom verbeteren we onze systemen en processen continu, om deze betrouwbaar te houden. Ziet u toch een zwakke plek in een IT-systeem? Dan stellen we het op prijs als u dit aan ons wilt melden.

Werk met ons samen aan een oplossing

Fouten komen voor, we willen deze niet verbergen. Maar als u zwakke plekken in onze IT-systemen openbaar maakt zonder eerst met ons te overleggen, kan dat ernstige gevolgen hebben. Hoe goed uw bedoeling ook is. Criminelen kunnen uw informatie gebruiken en zo bijvoorbeeld internetfraude plegen. Daarom vragen we u de fout eerst aan ons te melden en samen met ons te werken aan een oplossing. Zo kunnen we voorkomen dat er fraude plaatsvindt of dat systemen uitvallen.

Wat kunt u melden?

U kunt, liefst zo snel mogelijk, alle soorten zwakke plekken in onze IT-systemen melden, bijvoorbeeld:

cross-scripting-kwetsbaarheden
SQL-injectie-kwetsbaarheden
encryptie-zwakheden

Hoe geeft u een melding door?

Stuur een e-mail naar responsible.disclosure@defam.nl. Omschrijf de gevonden kwetsbaarheid zo duidelijk mogelijk. Geef daarbij aan welke methoden u heeft gebruikt om de zwakke plek te vinden en voeg, indien mogelijk, screenshots toe. Na ontvangst van uw melding stellen onze beveiligingsexperts vast of er daadwerkelijk sprake is van een probleem.

Wat doen we met uw melding?

Een team van beveiligingsexperts onderzoekt uw melding en neemt binnen 2 werkdagen contact met u op. Dat kan gaan over de door u gevonden zwakke punten, hoe u die heeft gevonden en de vervolgacties.

Uw privacy

We zullen uw persoonsgegevens alleen gebruiken om actie te ondernemen naar aanleiding van uw melding. We geven uw persoonsgegevens in principe niet aan anderen zonder uw toestemming.

Volgens de regels

Tijdens uw onderzoek kan het zijn dat u handelingen uitvoert die strafbaar zijn. Houdt u zich aan de regels voor het melden van zwakke plekken in onze IT-systemen, dan doen we geen aangifte en dienen we geen schadeclaim in. We kunnen u niet beloven dat u nooit vervolgd zult worden als u bij uw onderzoek strafbare feiten begaat. Ook als we geen aangifte doen. De Officier van Justitie beslist namelijk altijd zelf of u vervolgd wordt. Wij gaan daar niet over.

De spelregels

Neem uw verantwoordelijkheid en handel zo zorgvuldig en voorzichtig mogelijk. Gebruik bij het onderzoek alleen methoden of technieken die nodig zijn voor het vinden of aantonen van de zwakheden.

Beveilig uw eigen systemen zo goed mogelijk.
Gebruik zwakheden die u ontdekt alleen voor uw eigen onderzoek en niet voor iets anders.
Gebruik geen social engineering of brute-force aanvallen om toegang te krijgen tot een systeem.
Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door een backdoor wordt een systeem nog onveiliger.
Wijzig of verwijder geen gegevens in het systeem.
Kopieer nooit meer gegevens dan nodig is. Is 1 record voldoende voor uw onderzoek? Ga dan niet verder.
Lukt het om een systeem binnen te dringen? Doe dit dan niet vaker dan nodig is.
Deel eventuele toegang tot een systeem niet met anderen.

Ja, we kunnen u een beloning geven voor uw onderzoek. We zijn daartoe echter niet verplicht. U heeft dus niet zonder meer recht op een vergoeding. De hoogte van een beloning staat ook niet van tevoren vast. Die wordt door ons bepaald. Of we een beloning geven en de hoogte daarvan, hangt onder meer af van:

De zorgvuldigheid van uw onderzoek.
De kwaliteit van uw melding.
De omvang van de eventuele schade die door uw melding wordt voorkomen.