Over ons

Responsible disclosure

Verzekeren draait om vertrouwen. Daarom ontwikkelen wij al onze producten en diensten met een scherp oog voor veiligheid en privacy. Maar daarbij kunnen we dingen over het hoofd zien. Dingen die jij misschien wél ziet, zoals:

  • Cross-Site scripting (XSS) kwetsbaarheden
  • Zwakheden in inrichting beveiligde verbinding
  • SQL-injectie kwetsbaarheden
Image
Over ons - RD

Met Responsible Disclosure voorkomen we misbruik

Heb je een veiligheidsprobleem of zwakke plek ontdekt in een van onze online diensten? Wij stellen het op prijs als je dit eerst bij ons meldt, voordat je het openbaar maakt. Zo hebben wij de kans om maatregelen te nemen. Daarmee voorkomen we misbruik. Dat noemen we Responsible Disclosure.

Zo meld je een beveiligingslek

Je kunt jouw bevindingen mailen naar responsible-disclosure@aegon.nl. Wij willen je vragen om de volgende informatie in je e-mail op te nemen:

  • een uitgebreide beschrijving van het probleem
  • IP-adressen, logs en screenshots
  • aanwijzingen waarmee wij het voorval kunnen reproduceren 

Stuur ook je contactgegevens mee, zoals een telefoonnummer of e-mailadres. Zo kunnen wij eventueel contact met je opnemen voor aanvullende informatie. We stellen het op prijs als je e-mail in het Nederlands of Engels is geschreven.

Wat doen wij met je melding?

Een team van beveiligingsexperts onderzoekt je melding. Binnen 3 werkdagen sturen we je een ontvangstbevestiging. Binnen 10 werkdagen geven we een reactie op de inhoud van je melding. 

Wij respecteren jouw privacy

Zonder jouw toestemming geven we je identiteit niet vrij aan derden. We gebruiken je gegevens alleen om je te laten weten wat we met jouw melding doen.

Hou je aan onze spelregels

Zorg dat je tijdens het onderzoeken van een beveiligingslek geen schade aanricht. In geen geval mag je onderzoek leiden tot onderbreking van onze dienstverlening of openbaarmaking van bank- of klantgegevens. Hou je aan de volgende regels om te voorkomen dat je strafbare handelingen verricht:

  • Maak geen gebruik van ‘social engineering’ om toegang te verkrijgen tot een systeem.
  • Plaats geen backdoor in een informatiesysteem om daarmee het beveiligingslek aan te tonen. Dat kan leiden tot aanvullende schade en onnodige veiligheidsrisico’s. 
  • Maak minimaal gebruik van een beveiligingslek. Doe het hoogstnoodzakelijke om het beveiligingslek vast te stellen.
  • Wijzig of verwijder geen gegevens van het systeem. Wees daarnaast zo terughoudend mogelijk met het kopiëren van gegevens. Als één record genoeg is om het probleem aan te tonen, ga dan niet verder.
  • Breng geen systeemveranderingen aan.
  • Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen.
  • Deel de verkregen toegang niet met anderen.
  • Gebruik geen zogeheten 'brute force' om toegang tot systemen te verkrijgen. Daarbij is immers geen sprake van een beveiligingslek, maar alleen van het herhaaldelijk proberen van wachtwoorden.