Verantwoorde rapportage

Werken aan een veilig systeem

Bij Robeco werken specialisten voortdurend aan het verbeteren van de systemen en processen. Ze doen dat om de gegevens van onze klanten te beschermen tegen misbruik en voor de continuïteit van onze dienstverlening. Dat wil echter niet zeggen dat onze systemen immuun zijn voor problemen. Mochten die zich toch voordoen, dan hebben we jouw hulp nodig.

Wat kunnen we van elkaar verwachten?

Maak melding van veiligheidsproblemen rond de dienstverlening van Robeco op internet. Constateer je ergens een probleem of zwakke plek, laat ons dat dan zo snel mogelijk weten. Voorbeelden van kwetsbaarheden die gemeld moeten worden zijn:

  • cross-site scripting

  • SQL-injectie

  • gebrekkige encryptie

Wat verwachten wij van jou?

Zorg dat je geen schade veroorzaakt tijdens het onderzoek naar het geconstateerde probleem. Je onderzoek mag in geen geval leiden tot een onderbreking van de dienstverlening, of tot het openbaren van gegevens van de vermogensbeheerder of zijn klanten.

Wat doen we met jouw melding?

Een team van veiligheidsexperts stelt een onderzoek in naar jouw melding en reageert er zo snel mogelijk op. We vragen je om het probleem niet openbaar te maken, maar het te melden aan een van onze experts. Geef ze de tijd om het probleem op te lossen. We laten je weten hoe we jouw melding beoordelen, of we het probleem kunnen oplossen, en wanneer we dat gaan doen.

Spelregels

Het risico bestaat dat bepaalde handelingen tijdens een onderzoek strafbaar zijn. Handel je te goeder trouw, zorgvuldig en in lijn met de verstrekte spelregels, dan is er voor Robeco geen reden om je aan te geven. Houd je dus altijd aan de regels zoals beschreven in deze richtlijn voor verantwoorde rapportage en onderneem geen buitenproportionele actie:

  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
    Plaats geen backdoor in een informatiesysteem om het probleem te tonen, want dat kan leiden tot meer schade en gaat gepaard met onnodige veiligheidsrisico's.

  • Maak zo min mogelijk gebruik van kwetsbaarheden in het systeem. Voer alleen acties uit die nodig zijn om het probleem vast te stellen.

  • Bewerk of verwijder geen gegevens uit het systeem en wees zo terughoudend mogelijk bij het kopiëren van gegevens (als één record genoeg is om het probleem te tonen, laat het daar dan bij).

  • Breng geen veranderingen aan in het systeem.

  • Probeer niet herhaaldelijk toegang te krijgen tot het systeem en deel de verkregen toegang niet met anderen.

  • Maak geen gebruik van zogenoemde brute force om toegang te krijgen tot een systeem. Het draait daarbij immers niet echt om kwetsbaarheden, maar om het herhaaldelijk proberen van wachtwoorden.

Hoe doe je een melding?

Als je een probleem hebt geconstateerd, neem dan contact met ons op via het onderstaande formulier.

Wat hoef je niet te melden via het contactformulier?

Het contactformulier is niet bedoeld voor:

  • het indienen van klachten over diensten

  • het melden van (mogelijke) fraude via valse e-mails of phishing

  • het melden van virussen

  • het indienen van klachten of stellen van vragen over de beschikbaarheid van de website

Beschrijf uw bevindingen