Kwetsbaarheid melden

Ondanks onze inspanningen om onze systemen en processen te optimaliseren, is het mogelijk dat er toch zwakke plekken in de beveiliging aanwezig zijn. Mocht u een kwetsbaarheid in onze IT-systemen of op onze websites aantreffen, zouden we het op prijs stellen als u ons daarvan op de hoogte stelt, zodat we de beveiliging en de betrouwbaarheid van ons IT-systeem kunnen verbeteren.

Wat kunt u melden?

Als u een kwetsbaarheid in de beveiliging van ons systeem hebt ontdekt, vragen we u dat zo snel mogelijk aan ons te melden. Voorbeelden van kwetsbaarheden zijn:

• Cross Site Scripting (XSS) kwetsbaarheden
• SQL injectiekwetsbaarheden
• Zwakke punten in de encryptie
• Remote Code Execution
• Cross Site Request Forgery (CSRF) kwetsbaarheden
• Omzeiling van authenticatie, ongeautoriseerde toegang tot gegevens
  

Hoe kunt u kwetsbaarheden melden?

U kunt een kwetsbaarheid melden via dit e-mailadres. Zorg ervoor dat uw e-mail is versleuteld met een PGP-sleutel om te voorkomen dat uw e-mail in verkeerde handen valt. Geef in uw melding een duidelijke, beknopte beschrijving met onder andere:

• De stappen die u hebt ondernomen
  
• De volledige URL
• De eventueel betrokken objecten (zoals filters en invoervelden)
• Bewijs of reproductiestappen (video of schermafdruk indien mogelijk)
• Een beschrijving van het geconstateerde risico of de geconstateerde kwetsbaarheid

Onze specialisten zullen uw melding meteen in behandeling nemen en actie ondernemen. Het is mogelijk dat wij contact met u opnemen om de bevindingen van uw onderzoek te bespreken.

Waarvoor is dit e-mailadres niet bedoeld?

Gebruik het e-mailadres niet om de volgende zaken te melden:

• Klachten over de producten, de diensten, de websites of de voorzieningen voor internetbankieren van GarantiBank International N.V.
• Financiële kwesties
• Fraude of verdenking van fraude
• Malware
• Valse of phishing-e-mails

De richtlijnen

Houd u aan de volgende regels voordat u een kwetsbaarheid meldt. Houd er rekening mee dat uw activiteiten bij uw onderzoek van onze IT-systemen als criminele activiteiten kunnen worden opgevat en dat die strafbaar kunnen zijn. Als u een kwetsbaarheid in ons IT-systeem hebt ontdekt, heeft het plaatselijke recht voorrang boven deze regels van GBI. Als u echter te goeder trouw handelt en zich aan de regels van GBI houdt, zullen we uw activiteiten niet bij de autoriteiten melden, tenzij we daartoe wettelijk verplicht zijn. Het Openbaar Ministerie besluit of u zal worden vervolgd, ongeacht of we uw overtreding bij de autoriteiten melden. Daarom kan GBI niet beloven dat u niet zult worden vervolgd als u een strafbaar feit begaat terwijl u een kwetsbaarheid onderzoekt.

Het Nationaal Cyber Security Centrum (NCSC) (www.ncsc.nl) van het Ministerie van Veiligheid en Justitie heeft richtlijnen opgesteld voor het melden van zwakke punten in IT-systemen. Onze regels zijn op die richtlijnen gebaseerd.

Onze regels

Ga op een verantwoorde manier en met uiterste zorgvuldigheid en voorzichtigheid te werk.

Gebruik alleen methoden of technieken die redelijkerwijs noodzakelijk zijn om een kwetsbaarheid te detecteren of aan te tonen.

Volg daarbij de onderstaande regels:

• Zorg ervoor dat u tijdens uw onderzoek geen schade aan onze systemen toebrengt.
• Upload of installeer geen achterdeurtjes in het systeem, zelfs niet om de kwetsbaarheid van het systeem aan te tonen.
  Het aanbrengen van een achterdeurtje brengt verdere schade aan ons systeem toe.
• Wijzig of verwijder geen gegevens in het systeem. Kopieer niet meer gegevens dan nodig is als u gegevens moet kopiëren.
• Breng geen aanpassingen in het systeem aan.
• Deel uw toegang niet met anderen wanneer u het systeem bent binnengedrongen.
• Gebruik geen brute-force-technieken, door bijvoorbeeld herhaaldelijk gebruikersnamen en wachtwoorden in te voeren.
• Gebruik geen technieken die een nadelig effect op de beschikbaarheid van de systemen hebben.
• Gebruik geen social-engineering-technieken om toegang tot ons systeem te krijgen.
• Maak nooit bank- of klantgegevens openbaar die u tijdens uw onderzoek hebt aangetroffen.
• Maak nooit een kwetsbaarheid openbaar die u in ons IT-systeem of onze online diensten hebt ontdekt.
  Overleg met onze specialisten en geef ons de tijd om het probleem op te lossen.
• Zorg er altijd voor dat onze online of andere diensten niet door uw onderzoek worden verstoord.

Uw privacy

Wij gebruiken uw persoonlijke gegevens alleen om actie te ondernemen naar aanleiding van uw melding. Tenzij wij daartoe wettelijk verplicht zijn, zullen wij uw persoonlijke gegevens niet zonder uw uitdrukkelijke toestemming doorgeven aan anderen.