Kwetsbaarheden melden

• Richt geen schade aan 
• Zorg niet voor onderbreking van onze online dienstverlening 
• Maak geen gebruik van social engineering (zoals personen vertrouwelijke gegevens laten delen) om toegang te krijgen tot onze systemen 
• SVB-gegevens of klantgegevens niet openbaar te maken 
• Geen backdoor in een systeem te plaatsen, ook niet om de kwetsbaarheid aan te tonen 
• Geen wijzigingen of verwijderingen van gegevens in het systeem te doen 
• Kopieer nooit meer gegevens dan nodig is 
• Niet meerdere keren toegang tot het systeem proberen te krijgen 
• De toegang tot systemen te delen met anderen 
• Wachtwoorden niet meerdere keren te proberen om toegang tot onze systemen te krijgen (bruteforce-technieken)

We gebruiken uw persoonsgegevens alleen om aan uw melding te werken. We geven uw persoonsgegevens niet zonder uw toestemming aan anderen. We doen dit alleen als we op grond van de wet uw gegevens moeten geven. Of als we een ander bedrijf inschakelen om uw melding verder te onderzoeken. We zorgen er altijd voor dat zij uw gegevens ook geheim houden.

Kwetsbaarheden die u niet hoeft te melden zijn:

• alle meldingen zonder een duidelijk rapport met bewijs
• kwetsbaarheden gevonden op sites van organisaties die niet langer onderdeel zijn van SVB 
• ons beleid over de aanwezigheid of afwezigheid van kenmerken om de echtheid van e-mails te bepalen, zoals SPF, DKIM of DMARC records 
• cross-site request forgery (CSRF) kwetsbaarheden op blijvende pagina’s, alleen op pagina’s na inloggen 
• omleidingen van onbeveiligde pagina’s (HTTP) naar beveiligde pagina’s (HTTPS) 
• geen gebruik maken van beveiliging tegen aanvallen, namelijk HTTP Strict Transport Security (HSTS) 
• bezoekers ergens op te laten klikken wat ze niet bedoelen: clickjacking 
• de afwezigheid van de optie om vensters in te laden op niet inlogpagina’s: X-Frame-Options 
• mogelijk verouderde versies van een server of programma (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn 
• rapporten van onveilige SSL protocollen of TLS protocollen en andere verkeerde instellingen
• Distributed Denial of Service (DDoS) aanvallen: pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de klanten 
• spam technieken, zoals het sturen van grote aantallen e-mails 
• social engineering technieken, zoals ervoor zorgen dat personen vertrouwelijke gegevens delen 
• rapporten van gewone scans, zoals poortscanners

• Het indienen van klachten over onze dienstverlening of producten
• Vragen of klachten over de beschikbaarheid van onze websites 
• Het melden van problemen over onze betalingen 
• Fraudemeldingen of vermoedens van fraude melden
• Het melden van nepmails of phishing e-mails

We vragen u om gevonden kwetsbaarheden aan ons te melden. U kunt hier misschien een beloning voor ontvangen. Het bedrag hangt af van: 

• de ernst van het probleem 
• het soort website: is het een blijvende informatieve website of online SVB website 
• de kwaliteit van uw rapport 

Als het rapport heel belangrijk is voor onze betrouwbaarheid, zal de beloning hoger zijn. Beloningen worden niet gegeven als blijkt dat er sprake is van misbruik.