Pour assurer une banque sécurisée pour nos clients, nous améliorons continuellement nos systèmes et processus pour maintenir leur fiabilité. Cependant si vous remarquez une vulnérabilité dans un de nos systèmes, faites-le nous savoir.
Tout le monde peut faire des erreurs et cela peut aussi nous arriver. Si vous divulguez publiquement des vulnérabilités de nos systèmes informatique sans nous faire part en premier, ceci peut avoir des conséquence sérieuses. Des criminels peuvent utiliser ces informations pour commettre des fraudes par exemple. Afin de prévenir cela, nous vous demandons de nous contacter et nous aider à trouver une solution. Nous pourrons alors, ensemble, prendre des mesures pour éviter des fraudes et des pannes de nos systèmes.
Vous pouvez signaler autant de vulnérabilités sur nos systèmes informatiques que possible. Si vous identifiez une vulnérabilité, merci de nous contacter dès que possible.
Par exemple:
Voici les règles pour assurer une divulgation responsable :
A) Fournir les informations suivantes dans un document de votre choix
1. Quel est le domaine concerné par votre rapport ?
2. Pouvez-vous décrire les étapes réalisées ?
3. Quels sont les objets utilisés (ex. champs input ou filtres) ?
4. Quelle est l'URL complète ?
5. Pouvez-vous ajouter une capture d'écran de l'action réalisée avec succès ?
6. Quel navigateur et quelle version utilisez-vous ?
7. Quel système d'exploitation utilisez-vous ?
8. Quel programme, script ou code avez-vous utilisé ?
9. Quels sont vos nom, prénom, e-mail et numéro de téléphone ?
B) Chiffrer votre rapport avec la clé PGP ID 0x576934A2
C) Envoyer le rapport à l’adresse : responsible.disclosure@fr.abnamro.com
Une équipe d’experts en sécurité sera en charge d’analyser votre rapport et vous contactera dans les 2 jours ouvrables. Cela peut concerner les vulnérabilités identifiées, les méthodes d’identification ou tout autre étape.
Vos données personnelles seront utilisées uniquement pour réaliser les actions suite aux informations que vous fournissez dans votre rapport. Par principe, nous n’allons pas partager vos données personnelles avec des tiers sans votre permission.
Pendant vos investigations, vous pourriez effectuer des actions qui peuvent être punies par la loi. Tant que vous respectez les règles pour signaler des vulnérabilités sur nos systèmes, il n’y aura de plainte ou de demande des dédommagements.
Nous ne pouvons pas garantir que vous ne serez pas poursuivi si vous commettez des infractions punissables pendant vos investigations, même si nous ne signalons pas le rapport comme une infraction. Le procureur de la république a toujours la décision finale d’engager des poursuites ou non. Nous ne pouvons pas intervenir.
Oui, vous pouvez peut être avoir une récompense pour votre investigation. Cependant, ce n'est pas une obligation. Vous n’êtes pas automatiquement éligible à une récompense. Le montant de la récompense n’est pas fixé à l’avance et est déterminé par nous. Le fait d’attribuer ou non une récompense ainsi que son montant dépend de plusieurs facteurs, notamment :
Ne jamais publier vos investigations ou vulnérabilité dans nos systèmes sans en avoir discuté avec nous en premier. Cela nous aidera à éviter que des criminels utilisent ces informations. Il est nécessaire d’en discuter avec nos experts en sécurité et nous donner le temps de résoudre le problème.
Oui. Vous n’êtes pas obligé de fournir vos nom et contact quand vous envoyez votre rapport. Gardez en tête, cependant, que sans ces informations de contact, nous ne pourrons pas discuter de la suite des actions avec vous, notamment du traitement du rapport, de la collaboration future, de la reconnaissance et de toute récompense.
Oui, vous pouvez peut être avoir une récompense pour votre investigation. Cependant, ce n'est pas une obligation. Vous n’êtes pas automatiquement éligible à une récompense. Le montant de la récompense n’est pas fixé à l’avance et est déterminé par nous. Le fait d’attribuer ou non une récompense ainsi que son montant dépend de plusieurs facteurs, notamment :
Ne jamais publier vos investigations ou vulnérabilité dans nos systèmes sans en avoir discuté avec nous en premier. Cela nous aidera à éviter que des criminels utilisent ces informations. Il est nécessaire d’en discuter avec nos experts en sécurité et nous donner le temps de résoudre le problème.
Oui. Vous n’êtes pas obligé de fournir vos nom et contact quand vous envoyez votre rapport. Gardez en tête, cependant, que sans ces informations de contact, nous ne pourrons pas discuter de la suite des actions avec vous, notamment du traitement du rapport, de la collaboration future, de la reconnaissance et de toute récompense.