Instituce
Přihlásit se Otevřít účet
Česká republika

Zásady Saxo Group pro zveřejňování zranitelností

Bezpečnost našich systémů a služeb bereme velice vážně a hluboce si vážíme celosvětové bezpečnostní komunity. Zodpovědné zveřejňování bezpečnostních zranitelností a potenciálních hrozeb nám pomáhá zajistit bezpečnost a soukromí našich klientů, partnerů a zaměstnanců.

Pokyny

Pokud se při nahlášení problému budete řídit těmito pokyny, zavazujeme se, že:

  • Nebudeme provádět ani podporovat žádné právní kroky ohledně vašeho průzkumu souvisejícího s nahlášením problému.
  • Budeme s vámi spolupracovat na rychlém pochopení a vyřešení problému (včetně prvotního potvrzení vašeho oznámení do 72 hodin od jeho podání).
  • Uznáme váš příspěvek, pokud jste jako první nahlásili daný problém a my na jeho základě provedeme změnu kódu nebo konfigurace.

Požadujeme, aby všichni zabývající se průzkumem (researchers):

  • Při bezpečnostní analýze vynaložili veškeré úsilí a zabránili porušení soukromí, zhoršení uživatelského komfortu, narušení produkčních systémů a zničení dat.
  • Prováděli analýzu pouze v níže uvedeném rozsahu
  • Využívali exploity (zranitelnosti) pouze v rozsahu nezbytném k potvrzení přítomnosti dané zranitelnosti a po jejím zjištění ji dále nezneužívali.
  • Neexfiltrovali data, nevytvářeli přístup k příkazovému řádku a/nebo perzistenci, ani nepřecházeli do jiných systémů.
  • K nahlášení informací o zranitelnosti používali definované komunikační kanály (jak je uvedeno níže).
  • Zachovali důvěrnost informací o jakémkoli podezření nebo potvrzeném bezpečnostním problému, který byl objeven, a to jak na straně vaší, tak na straně Saxo Bank, dokud neuplyne alespoň 90 dní, během kterých se budeme moci snažit o vyřešení problému.

Rozsah působnosti

  • www.home.saxo
  • Simulace SaxoInvestor
  • Simulace SaxoTrader pro web, mobilní zařízení a počítače
  • Simulace SaxoOpenAPI, přímo nebo prostřednictvím www.developer.saxo.

Mimo oblast působnosti

Veškeré služby hostované poskytovateli třetích stran a jejich službami jsou z rozsahu působnosti vyloučeny. Tyto služby zahrnují:

  • Zpravodajské kanály
  • Cenové kanály

V zájmu bezpečnosti našich uživatelů, zaměstnanců, internetu jako celku a vás jako "průzkumníků" v oblasti bezpečnosti jsou z rozsahu působnosti vyloučeny následující typy testů:

  • Zjištění plynoucí z fyzických testů, jako je přístup do kanceláře (např. otevřené dveře, sledování).
  • Zjištění pocházející především ze sociálního inženýrství (např. phishing, vishing).
  • Zjištění z aplikací nebo systémů, které nejsou uvedeny v oddíle "Rozsah působnosti".
  • Chyby v rámci UI a UX a pravopisné chyby
  • Zranitelnosti typu Denial of Service (DoS/DDoS) na úrovni sítě
  • Chybějící oznámení ohledně cookies a záhlaví týkající se bezpečnosti
  • Zasílání spamu do formulářů

Informace, které nechceme dostávat:

  • Osobní údaje (PII)
  • Finanční údaje (například čísla kreditních karet nebo bankovních účtů).
  • Výsledky automatických skenovacích nástrojů

Ohlašování bezpečnostních zranitelností

Pokud se domníváte, že jste našli bezpečnostní problém v některém z našich produktů nebo v některé z našich platforem, zašlete nám jej prosím e-mailem na adresu security@saxobank.com. Do zprávy uveďte následující údaje:

  • Popis místa výskytu a potenciálního dopadu zjištěných problémů;
  • Podrobný popis kroků potřebných k reprodukci vašich zjištění (k tomu nám pomohou skripty POC "proof of concept", snímky obrazovky a komprimované záznamy obrazovky); a
  • Vaše jméno a odkaz pro získání uznání v naší Síni Slávy.

Pokud chcete informace šifrovat, můžete použít náš klíč PGP. Pro další podrobnosti klikněte security.txt.

Koordinované zveřejňování

Zranitelnosti se snažíme opravit do 90 dnů nebo méně. Zveřejnění takových zranitelností před jejich opravou však riziko spíše zvyšuje, než snižuje, a proto v zájmu ochrany našich klientů žádáme, abyste nezveřejňovali ani nesdíleli žádné informace o potenciální zranitelnosti, dokud nahlášenou zranitelnost neprošetříme, nezareagujeme na ni a neošetříme ji a neinformujeme naše klienty (v případech, kdy je to relevantní).

Pokud je to relevantní, budeme s vámi oznámení o ověřené zranitelnosti koordinovat a upřednostňujeme, aby naše příslušná zveřejnění byla zveřejněna současně.

Saxo Bank A/S, organizační složka
Na Poříčí 3a
Prague 1, 110 00
Česká republika
IČO: 28949587

Kontaktujte Saxo Bank

Česká republika
Česká republika
Produkty a ceny
Platformy
Účty a služby
Všeobecné
Další
Právní informace

Warning

Veškeré obchodování a investování s sebou nesou riziko, včetně možnosti ztráty celé investované částky. U některých produktů pak může být riziko výrazně vyšší a může dojít i ke ztrátám přesahujícím výši původní investice.

Informace na našich mezinárodních webových stránkách (vybrané z rozbalovacího seznamu) jsou přístupné po celém světě a vztahují se na Saxo Bank A/S jako mateřskou společnost skupiny Saxo Bank. Jakákoli zmínka o skupině Saxo Bank se týká celé organizace, včetně dceřiných společností a poboček pod Saxo Bank A/S. Klientské smlouvy jsou uzavírány s příslušným subjektem Saxo na základě vaší země bydliště a řídí se platnými zákony jurisdikce tohoto subjektu.

Apple a logo Apple jsou ochranné známky společnosti Apple Inc., registrované v USA a dalších zemích. App Store je servisní značka společnosti Apple Inc. Google Play a logo Google Play jsou ochranné známky společnosti Google LLC.