Melden van zwakke plekken in onze ICT-systemen
Heeft u een zwakke plek gevonden in een van de ICT-systemen van de NWB Bank? Dan horen wij dit graag van u. Wij kunnen dan zo snel mogelijk maatregelen nemen. Graag werken we samen met u om de veiligheid van onze ICT-systemen nog beter te kunnen beschermen.
Wij hebben een beleid waarin staat hoe we omgaan met meldingen van geconstateerde kwetsbaarheden in de ICT-systemen van de bank. U mag ons aan dit beleid houden wanneer u een zwakke plek vindt in een van de ICT-systemen en deze aan ons meldt.
Hoe kunt u ons helpen?
- Meld de kwetsbaarheid zo snel mogelijk aan ons. Mail uw bevindingen naar security@nwbbank.com. Versleutel, indien mogelijk, de bevindingen. Hiermee voorkomt u dat de informatie in verkeerde handen valt.
- Geef ons voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden hebben we soms meer informatie nodig.
- Laat contactgegevens achter, zodat wij contact met u kunnen opnemen om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
- Deel de informatie over de kwetsbaarheid niet met anderen.
- Ga verantwoordelijk om met de kennis over de kwetsbaarheid. Hiermee bedoelen we dat u niet meer doet dan noodzakelijk is om de kwetsbaarheid aan te kunnen tonen.
Wat kunt u beter niet doen?
- Malware plaatsen.
- Gegevens in een systeem kopiëren, wijzigen en/of verwijderen.
- Veranderingen in het systeem aanbrengen.
- Meerdere keren toegang tot het systeem proberen te krijgen of de toegang delen met anderen.
- Het zogeheten “bruteforcen” gebruiken om toegang tot systemen te krijgen.
- Denial-of-service of social engineering gebruiken.
- De kwetsbaarheid verder uitnutten dan nodig is om de kwetsbaarheid vast te stellen.
Wat mag u van ons verwachten?
- Voldoet u bij de melding van de kwetsbaarheid aan de bovenstaande voorwaarden? Dan verbinden wij geen juridische consequenties aan deze melding.
- Iedere melding behandelen we vertrouwelijk. Persoonlijke gegevens delen we nooit met derden zonder toestemming van de melder, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- In onderling overleg kunnen wij, indien u dit wenst, uw naam vermelden als ontdekker van de gemelde kwetsbaarheid.
- Binnen 3 werkdagen sturen we een ontvangstbevestiging van de melding.
- Binnen 7 werkdagen reageren we op een melding. In onze reactie staat de beoordeling van de melding en de verwachte datum voor een oplossing.
- Wij houden de melder op de hoogte van de voortgang van het oplossen van het probleem.
- Wij lossen de door u geconstateerde kwetsbaarheid in een ICT-systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen na de melding, op. In onderling overleg bepalen we of, en zo ja, op welke manier over het probleem wordt gepubliceerd. Dit doen we nadat het probleem is opgelost.
- Kunnen we de kwetsbaarheid niet of moeilijk oplossen? Of brengt de oplossing niet proportionele kosten met zich mee? Dan kunnen wij besluiten de kwetsbaarheid te accepteren waarbij verdere publicatie niet toegestaan is.
- Wij kunnen in overleg met de melder afspreken om de bredere ICT-community te informeren over de kwetsbaarheid. Dit doen we als we vermoeden dat de kwetsbaarheid ook op andere plaatsen aanwezig is.
- In sommige gevallen kennen we een beloning of waardering toe als dank voor de hulp. Het hangt van de ernst van de kwetsbaarheid en de kwaliteit van de melding af hoe deze beloning of waardering wordt vastgesteld. Het moet dan gaan om een voor ons onbekende en serieuze kwetsbaarheid.
Overige bepaling
- Maak de kwetsbaarheid niet openbaar, maar treedt met ons in overleg en geef ons de tijd deze te verhelpen.