{"type":"document","data":{"id":"d314bd28-c7d0-4cc1-9f7b-9e8650a58775","localeString":"nl-NL","publishDate":"2026-04-15T09:26:43.077+02:00","contentType":"onecms:productPage","hasMacro":false,"flexPageMetadata":{"afmBanner":false,"robotInstruction":{"noIndex":false,"noFollow":false},"description":"Help ons de veiligheid en betrouwbaarheid van onze systemen te verbeteren. Meld kwetsbaarheden."},"mainHeaderZone":{"componentType":"productHeader","coreHeader":{"body":"Ben je deskundig en ontdek je een kwetsbaarheid in onze systemen? Help ons dan door deze kwetsbaarheid te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren.","headerImage":{"transformBaseUrl":"https://assets.ing.com/transform/04e09918-9f79-4fb4-87dd-6f9ed98a6eb7/Tile_720x384_25Kb_step_tcm162-224456","type":"image","width":720,"original":"https://assets.ing.com/m/21cde5b169c6433/original/Tile_720x384_25Kb_step_tcm162-224456.jpg","extension":"jpg"},"title":"Meldpunt kwetsbaarheden","subtitle":"Responsible disclosure"},"backLink":{"textLink":{"url":"/de-ing/veilig-bankieren/wat-wij-doen","text":"Veiligheidsbeleid ING"}}},"flexZone":{"flexComponents":[{"componentType":"paragraph","title":"ING en veiligheid","richBody":{"value":"<p>Als ING beschouwen we de veiligheid van internetbankieren en de continuïteit van onze online-diensten als onze topprioriteiten. Elke dag en nacht werken onze specialisten aan het optimaliseren van onze systemen en processen. Ondanks alle inspanningen die we in de beveiliging van onze systemen steken, kunnen er nog steeds kwetsbaarheden in onze systemen aanwezig zijn. </p><p>Heb jij de juiste vaardigheden om zwakke plekken in onze systemen te kunnen ontdekken? Je kunt ons helpen door deze problemen te melden. Op die manier kunnen we de veiligheid en betrouwbaarheid van onze systemen verbeteren. Ben je de eerste die de kwetsbaarheid bij ons meldt en maak je het probleem niet publiek? Dan kom je in aanmerking voor een beloning. </p><p>Een team van security experts zal jouw bevinding(en) onderzoeken. Binnen twee werkdagen ontvang je een e-mail met een eerste reactie. Het is echter mogelijk dat er een vertraging ontstaat bij het beantwoorden van je bevinding(en) als gevolg van werkdruk, feestdagen of vakantie. </p>"}},{"componentType":"paragraph","title":"Waar is dit programma NIET voor bedoeld?","richBody":{"value":"<ul><li>Het <a data-type=\"internal\" href=\"/de-ing/over-ing/klachten\">indienen van klachten</a> over de dienstverlening of producten van ING</li><li><a data-type=\"internal\" href=\"/de-ing/over-ing/klachten\">Vragen of klachten</a> over de beschikbaarheid van ING-websites, mobiel bankieren of internetbankieren</li><li>Het melden van problemen bij geld- of pinautomaten</li><li>Fraudemeldingen of vermoedens van fraude</li><li>Het melden van nepmails of phishing e-mails</li><li>Het melden van virussen</li></ul>"}},{"componentType":"paragraph","title":"Internationaal recht en regelgeving","richBody":{"value":"<p>Regelgeving met betrekking tot het melden van kwetsbaarheden kan per land verschillen. Wij raden je ten zeerste aan met deze regelgeving rekening te houden. Het kan heel goed mogelijk zijn dat jouw onderzoek van onze IT-systemen als crimineel wordt beschouwd door lokale of internationale wetgeving en je een strafrechtelijke vervolging riskeert. Heb je kwetsbaarheden gevonden in een van onze ING-pagina&apos;s, dan moet je je realiseren dat de plaatselijke wetgeving prevaleert boven de genoemde regels van ING. Maar als je te goeder trouw en volgens de genoemde regels van ING handelt, zullen we jouw acties niet melden bij de autoriteiten, tenzij het verplicht is door de wet.</p>"}},{"componentType":"paragraph","title":"Jouw privacy","richBody":{"value":"<p>We gebruiken je persoonsgegevens alleen om actie te ondernemen op jouw melding. We geven je persoonsgegevens niet zonder jouw toestemming aan anderen, tenzij wij op grond van de wet je gegevens moeten afstaan. Of als we een ander bedrijf inschakelen om jouw melding verder te onderzoeken. In dat geval zullen we er altijd voor zorgen dat ook zij op hun beurt op dezelfde manier als wij jouw gegevens geheim houden.</p>"}},{"componentType":"paragraph","title":"Hoe kun je een melding doen?","richBody":{"value":"<p>Je kunt een melding per e-mail doorgeven via <a href=\"mailto:responsible-disclosure@ing.nl\">responsible-disclosure@ing.nl</a>. Een voorwaarde voor het sturen van een e-mail naar bovengenoemd e-mailadres is dat je de openbare <a href=\"https://www.ing.nl/media/ING_PGP-key_tcm162-74965.zip\">public PGP key (zip)</a> gebruikt om het bericht te versleutelen. Schrijf je rapport op een duidelijke en beknopte manier. In het bijzonder:</p><ul><li>De stappen die je ondernam</li><li>De volledige URL</li><li>Wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)</li><li>Bewijs / hoe te reproduceren (video, schermafdruk indien mogelijk)</li><li>Het risico of mogelijkheid tot uitvoering</li><li>Het aanbieden van een oplossing wordt sterk aangemoedigd, maar niet verplicht</li></ul><p>Onze specialisten lezen jouw melding en gaan er gelijk mee aan de slag.</p>"}},{"componentType":"paragraph","title":"Wat kun je melden?","richBody":{"value":"<div>Voorbeeld van kwetsbaarheden die gemeld kunnen worden: \n<ul> \n <li>Remote Code execution</li> \n <li>Cross Site Scripting (XSS)-kwetsbaarheden</li> \n <li>Cross Site Request Forgery (CSRF) kwetsbaarheden</li> \n <li>SQL injectiekwetsbaarheden</li> \n <li>Kwetsbaarheden met betrekking tot encryptie</li> \n <li>Ongeautoriseerde toegang tot gegevens</li> \n</ul></div>"}},{"componentType":"paragraph","title":"Uitgesloten is het melden van:","richBody":{"value":"<ul> \n <li>Alle meldingen zonder een duidelijk rapport met het bewijs van mogelijke exploitatie</li> \n <li>Kwetsbaarheden gevonden op sites van organisaties die niet langer deel uitmaken van ING (voormalige business units)</li> \n <li>Ons beleid ten aanzien van de aanwezigheid of afwezigheid van SPF / DKIM / DMARC records</li> \n <li>Cross Site Request Forgery (CSRF) kwetsbaarheden op statische pagina’s (alleen op pagina’s na inloggen)</li> \n <li>Redirection van HTTP naar HTTPS</li> \n <li>HTML does not specify charset</li> \n <li>HTML uses unrecognized charset</li> \n <li>Cookie zonder HttpOnly vlag</li> \n <li>Geen gebruik van HTTP Strict Transport Security (HSTS)</li> \n <li>Clickjacking of de afwezigheid van X-Frame-Options op niet inlog pagina’s</li> \n <li>Opgeslagen pagina HTTPS antwoord pagina’s op websites waar geen online betaaltransacties aanwezig zijn</li> \n <li>User enumeration op websites waar geen online betaaltransacties aanwezig zijn</li> \n <li>Mogelijk verouderde server- of applicatie versies (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn en bewijs van exploitatie.</li> \n <li>Rapporten van onveilige SSL / TLS protocollen en andere misconfiguraties</li> \n <li>Generieke kwetsbaarheden gerelateerd aan software of protocollen die niet onder controle van ING vallen</li> \n <li>Distributed Denial of Service (DDoS) aanvallen</li> \n <li>Spam of Social Engineering technieken</li> \n <li>Rapporten van reguliere scans zoals poortscanners</li> \n</ul>"}},{"componentType":"paragraph","title":"De spelregels","richBody":{"value":"<p>Bij het onderzoek zou je mogelijk handelingen kunnen verrichten die strafbaar zijn. Als je te goeder trouw bent, zorgvuldig en volgens de aangegeven spelregels handelt, is er voor de bank geen aanleiding om aangifte te doen. Volg daarom de regels zoals opgenomen in deze responsible disclosure regeling en handel daarnaast niet op een onevenredige wijze:</p><ul><li>Zorg ervoor dat je tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.</li><li>Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.</li><li>In geen geval mag jouw onderzoek leiden tot onderbreking van onze dienstverlening.</li><li>In geen geval mag jouw onderzoek leiden tot openbaarmaking van bank- of klantgegevens.</li><li>Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.</li><li>Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor jouw onderzoek, ga dan niet verder.</li><li>Breng geen systeemveranderingen aan.</li><li>Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.</li><li>Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.</li><li>Gebruik geen technieken die de beschikbaarheid van onze diensten kunnen beïnvloeden.</li></ul>"}},{"componentType":"paragraph","title":"Beloning","richBody":{"value":"<p>We moedigen iedereen aan om gevonden kwetsbaarheden aan ons te rapporteren. Als de door jou gemelde kwetsbaarheden zijn opgelost of hebben geleid tot een verandering in onze diensten, kom je in aanmerking voor een beloning. Het uit te keren bedrag is afhankelijk van de ernst van het probleem, soort website (statische informatieve websites versus online bankieren sites) en de kwaliteit van het ontvangen rapport. Als het rapport van grote waarde voor de continuïteit en betrouwbaarheid van de bank is, zal de beloning aanzienlijk hoger zijn.</p><p>Goed om te weten:</p><ul><li>Beloningen worden niet toegekend als blijkt dat er sprake is van misbruik. </li><li>Kwetsbaarheden ontdekt door ING-medewerkers of voormalige werknemers van ING worden uitgesloten van beloning.</li><li>Een beloning zal alleen worden toegekend aan de eerste melder van de kwetsbaarheid.</li><li>Meerdere meldingen voor eenzelfde soort kwetsbaarheid met minimale verschillen zullen als één verslag worden behandeld (slechts één melding wordt beloond).</li><li>Als je in aanmerking komt voor een beloning, zullen wij jouw persoonlijke gegevens nodig hebben om de betaling uit te kunnen voeren.</li></ul>"}},{"componentType":"paragraph","title":"Information in English","richBody":{"value":"<div>Please follow <a href=\"http://www.ing.com/ING.com-Security.htm\">this link</a> to read the information on responsible disclosure in English.</div>"}},{"componentType":"linkList","iconTitle":{"icon":{"transformBaseUrl":"https://assets.ing.com/transform/f52818ae-9791-4ef7-9799-d3f991c2e3b4/Functionalities-Lock_Confirmation_Outline","type":"image","width":32,"altTextNL":"\"\"","original":"https://assets.ing.com/m/5b979bd44d912a17/original/Functionalities-Lock_Confirmation_Outline.svg","extension":"svg"},"title":"Veilig bankieren"},"textLinks":[{"url":"/de-ing/veilig-bankieren/fraude-melden","text":"Fraude melden bij de Alarmlijn"},{"url":"/de-ing/veilig-bankieren/soorten-oplichting-fraude","text":"Meer soorten oplichting en fraude"},{"url":"https://voorkomfraude.nl","text":"Herken & voorkom fraude"},{"url":"/de-ing/veilig-bankieren/5-bs/update-je-browser-en-besturingssysteem","text":"Welke browser, ook met schermlezer"}]},{"componentType":"linkList","iconTitle":{"title":"Meer info"},"textLinks":[{"url":"/de-ing/veilig-bankieren/fraude-melden","text":"Direct fraude melden"},{"url":"/de-ing/veilig-bankieren/wat-wij-doen/houd-je-aan-de-veiligheidsregels","text":"Veiligheidsbeleid van de ING"},{"url":"/de-ing/toegankelijkheid","text":"Hulp nodig bij je bankenzaken?​"}]}]}}}