Kwetsbaarheid melden

ASN Bank vindt het belangrijk dat je veilig kunt bankieren. Daarom vragen we ontwikkelaars en cyberdeskundigen ons te helpen om de veiligheid van onze online dienstverlening continu te verbeteren. Wij stellen ons daarom open voor deskundigen om ons hierbij te ondersteunen, door gevonden mogelijke zwakke plekken in onze online dienstverlening aan ons te melden.

Waarom werken aan systeemveiligheid?

Elke dag werken specialisten bij ASN Bank aan het verbeteren van onze systemen en processen, zodat klantgegevens beschermd worden tegen misbruik en de beschikbaarheid van onze dienstverlening gewaarborgd is. Dat neemt niet weg dat ook in onze systemen zich kwetsbaarheden kunnen voordoen. Daarbij maken we graag gebruik van je hulp.

Wie kan melding maken en wat verwachten we?

Open

Zorg ervoor dat je tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht. In geen geval mag het onderzoek tot onderbreking van de dienstverlening leiden of tot openbaarmaking van onze gegevens.

Wie kan melding maken?

Ieder inzake internetbeveiliging deskundig persoon (bijv. ontwikkelaars en cyberdeskundigen) die een mogelijke zwakte in de systemen van ASN Bank heeft ontdekt.

Wat melden en wat kun je van ons verwachten?

Open

Je kunt problemen aan ons melden die betrekking hebben op de veiligheid van diensten die ASN Bank aanbiedt via internet. Mocht je een probleem of zwakke plek gevonden hebben, meld dit dan zo snel mogelijk. Voorbeeld van kwetsbaarheden die gemeld kunnen worden zijn:

  • Cross site scripting kwetsbaarheden;
  • SQL injectie kwetsbaarheden;
  • Encryptie zwakheden.

Wat doen we met de melding
Een team van beveiligingsexperts onderzoekt de melding en geeft binnen 2 werkdagen een eerste reactie. Deel de kwetsbaarheid niet met anderen totdat het is opgelost, maar praat met onze experts en geef ons de tijd het probleem op te lossen. Wij laten je weten wat we van de melding vinden, of we een oplossing gaan toepassen en wanneer we dat plannen te doen.

Spelregels en de melding doorgeven

Open


Bij het onderzoek zou je mogelijk handelingen kunnen verrichten die strafbaar zijn. Als je te goeder trouw, zorgvuldig en volgens de aangegeven spelregels handelt, is er voor ASN Bank geen aanleiding om aangifte te doen. Volg daarom de regels zoals opgenomen in deze Responsible Disclosure regeling en neem de volgende spelregels in acht:

  • Maak geen gebruik van social engineering om toegang te verkrijgen tot een systeem.
  • Plaats geen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen, omdat daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen;
  • Maak minimaal gebruik van een kwetsbaarheid, doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen;
  • Wijzig of verwijder geen enkel gegeven van het systeem, en wees zo terughoudend mogelijk met het kopiëren van gegevens (als één record genoeg is om het probleem aan te tonen, ga dan niet verder);
  • Breng geen systeemveranderingen aan;
  • Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen;
  • Gebruik geen zogeheten “bruteforce” om toegang tot systemen te verkrijgen, daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.

Heb je een kwetsbaarheid gevonden, neem dan contact met ons op via e-mail: responsible-disclosure@asnbank.nl. Gebruik hiervoor de PGP key.

Beschrijf het gevonden probleem zo uitgebreid mogelijk. Hou er rekening mee dat je melding door specialisten wordt ontvangen; een korte specifieke beschrijving of bewijs is voldoende. Je kunt ook een kwetsbaarheid anoniem melden. We kunnen in dat geval geen afspraken met je maken over de opvolging van je melding, over een eventuele beloning voor de melding en over het doen van aangifte.

Het meldpunt is niet bedoeld voor

Open
  • Indienen van klachten over de dienstverlening;
  • Doen van fraudemeldingen en/of vermoedens van fraude;
  • Melden van nepmails of phishing e-mails;
  • Melden van virussen;
  • Indienen van klachten of vragen over de beschikbaarheid van de website of ASN Online Bankieren. Voor deze bevindingen kun je gebruik maken van de dienstverlening van de ASN Klantenservice op tel. 070 - 35 69 335 of stuur een email naar informatie@asnbank.nl.

Beloning

Open
Voor een gemelde kwetsbaarheid die daadwerkelijk door ons is verholpen of tot verandering van onze dienstverlening heeft geleid, zul je als dank een passende vergoeding ontvangen. ASN Bank beslist of je hiervoor in aanmerking komt en beslist ook over de hoogte van de vergoeding.

Privacy

Open
Voor het verdere verloop van de melding zullen wij je vragen om je contactgegevens (naam, email, PGP key, en eventueel telefoonnummer) te verstrekken, tenzij je anoniem een melding hebt gedaan. Wij zullen je identiteit niet zonder jouw instemming aan derden vrijgeven of je gegevens voor andere doeleinden gebruiken dan om passende opvolging te geven aan jouw melding, tenzij daartoe een wettelijke plicht bestaat, zoals bij vordering door justitie.

Overige voorwaarden

Wij kunnen alleen meldingen aannemen die in het Nederlands of Engels opgesteld zijn. Voor de uitkering van beloningen hebben wij je persoonsgegevens nodig. Mochten meerdere melders tegelijk dezelfde bevinding melden, dan is de vergoeding voor de eerste melder.

Nationaal Cyber Security Center

Deze responsible disclosure regeling is tot stand gekomen in overleg met het Nationaal Cyber Security Centrum (www.ncsc.nl) en op basis van de leidraad van het NCSC.

, waarmee kunnen we je helpen?