Meldpunt voor kwetsbaarheden

Help ons de veiligheid van onze (virtuele) dienstverlening continu te verbeteren. Van Lanschot Bankiers vindt het belangrijk dat klanten veilig kunnen bankieren. Wij stellen ons daarom open voor deskundigen om ons hierbij te ondersteunen door gevonden mogelijke zwakke plekken aan ons te melden.

Responsible disclosure-beleid

Elke dag werken specialisten bij Van Lanschot Bankiers aan het verbeteren van de systemen en processen, zodat de gegevens van onze klanten beschermd worden tegen misbruik, en de beschikbaarheid van de dienstverlening gewaarborgd is. Dat neemt niet weg dat zich ook in onze systemen kwetsbaarheden kunnen voordoen. Voor de waarneming hiervan maken we graag gebruik van uw hulp.

Wie kan melding maken van een kwetsbaarheid?

Iedereen die een mogelijke zwakke plek in de systemen van Van Lanschot Bankiers heeft ontdekt.  

Welke kwetsbaarheden kunt u melden?

U kunt problemen melden die gaan over de veiligheid van diensten die Van Lanschot Bankiers aanbiedt via het internet. Bijvoorbeeld:

  • Cross site scripting-kwetsbaarheden
  • SQL-injectiekwetsbaarheden
  • Encryptiezwakheden

Hoe moet u de melding doen?

Hebt u een kwetsbaarheid gevonden?

  1. Neem dan zo snel mogelijk contact met ons op via e-mail: responsibledisclosure@vanlanschot.com
  2. Beschrijf het gevonden probleem zo uitgebreid mogelijk. Houd er rekening mee dat uw melding door specialisten wordt ontvangen; u kunt technisch jargon gebruiken waar nodig.  
  3. U kunt ervoor kiezen om uw contactgegevens (naam en eventueel telefoonnummer) toe te voegen of u kunt de melding anoniem doen.

Wat doen we met uw melding?

Een team van beveiligingsexperts onderzoekt uw melding en geeft binnen 2 werkdagen een eerste reactie. Maak het probleem in de tussentijd niet publiek, maar praat met onze experts en geef hen de tijd het probleem op te lossen. Wij laten u weten wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat doen.

Beloning

Als dank ontvangt u een passende vergoeding voor kwetsbaarheden die we daadwerkelijk hebben kunnen verhelpen of die tot een verandering van de dienstverlening hebben geleid. Wij beslissen of de melding hiervoor in aanmerking komt en over de hoogte van de vergoeding.  

NB U kunt een kwetsbaarheid ook anoniem melden. Wij kunnen dan echter geen afspraken met u maken over de opvolging van uw melding, over een eventuele beloning en over het al of niet doen van aangifte (zie ‘Wat zijn de spelregels?’).

Wat zijn de spelregels?

Bij het onderzoeken van de kwetsbaarheid die u gevonden hebt, zou u mogelijk handelingen kunnen verrichten die strafbaar zijn. Als u te goeder trouw, zorgvuldig en volgens de aangegeven spelregels gehandeld hebt, is er voor de bank geen aanleiding om aangifte te doen. Houdt u zich daarom aan de volgende regels wanneer u  onderzoek doet:

  • Zorg ervoor dat u met de gevonden kwetsbaarheid geen schade aanricht. In geen geval mag uw handelen leiden tot opzettelijke onderbreking van de dienstverlening of tot openbaarmaking van bank- of klantgegevens.
  • Maak geen gebruik van social engineering om toegang te verkrijgen tot een systeem.
  • Plaats geen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • Maak minimaal gebruik van een kwetsbaarheid, doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Wijzig of verwijder geen enkel gegeven van het systeem en wees zo terughoudend mogelijk met het kopiëren van gegevens (als één record genoeg is om het probleem aan te tonen, ga dan niet verder).
  • Breng geen systeemveranderingen aan.
  • Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen.
  • Gebruik geen bruteforce om toegang tot systemen te verkrijgen. Daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.  

Wat niet melden?

Het meldpunt responsibledisclosure@vanlanschot.com is niet bedoeld voor het:  

  • indienen van klachten over de dienstverlening van Van Lanschot
  • melden van fraude of vermoeden van fraude
  • melden van nepmails of phishing e-mails
  • melden van virussen
  • indienen van klachten of vragen over de beschikbaarheid van de internetdiensten van Van Lanschot
  • melden van problemen met geldautomaten  

Wilt u een klacht indienen over de dienstverlening van Van Lanschot? Kijk dan bij Veelgestelde vragen (kies voor het onderwerp Niet tevreden). Wilt u een van de andere bovenstaande zaken melden? Dan helpt Van Lanschot Client Services u graag verder.  

Uw privacy

Voor de opvolging van de melding kunt u ervoor kiezen om uw contactgegevens (naam, e-mail en eventueel telefoonnummer) aan ons te verstrekken. Wij zullen uw identiteit niet zonder uw instemming aan derden vrijgeven of uw gegevens voor andere doeleinden gebruiken dan om passende opvolging te geven aan uw melding, tenzij daartoe een wettelijke plicht bestaat, bijvoorbeeld bij vordering door justitie. Uw identiteitsgegevens behandelen wij volgens de richtlijnen zoals beschreven in de Wet Bescherming Persoonsgegevens (WBP)

Overige voorwaarden

Met betrekking tot internetveiligheid en privacy is de Nederlandse wetgeving van toepassing. Wij kunnen alleen meldingen aannemen die in het Nederlands of Engels opgesteld zijn. Voor de uitkering van beloningen hebben wij uw persoonsgegevens nodig. Beloningen worden alleen uitgekeerd aan personen met een woonadres en bankrekening in Nederland. Mochten meerdere melders tegelijk dezelfde bevinding melden, dan is de vergoeding voor de eerste melder.  

Nationaal Cyber Security Center

Deze responsibledisclosure-regeling is tot stand gekomen in overleg met het Nationaal Cyber Security Center (www.ncsc.nl) en op basis van de leidraad van het NCSC.

Van Lanschot maakt gebruik van cookies voor een goede werking van de site, voor tracking en voor het bijhouden van statistieken. Gaat u verder op de site? Dan stemt u erin toe dat wij cookies plaatsen. Lees meer over cookies bij Van Lanschot