Saxo Banks politik for oplysning om sikkerhedsproblemer
Vi tager sikkerheden i vores systemer og services alvorligt, og vi værdsætter det globale sikkerhedsfællesskab. Vi ønsker at sikre vores kunders, samarbejdspartneres og medarbejderes sikkerhed og privatliv ved at oplyse om sikkerhedsproblemer på ansvarlig vis.
Retningslinjer
Hvis du følger disse retningslinjer, når du indberetter et problem til os, forpligter vi os til:
- Ikke at træffe eller understøtte retlige foranstaltninger vedrørende din research i forbindelse med indberetningen af et sådant problem
- At samarbejde med dig om at forstå og løse problemet hurtigt (herunder at bekræfte din indberetning inden for 72 timer)
- At anerkende dit bidrag, hvis du er den første, der indberetter problemet, og vi foretager en ændring i kode eller konfigurering på baggrund af problemet
Vi kræver, at alle researchere:
- Gør alt, hvad de kan, for at undgå krænkelse af privatlivets fred, forringelse af brugeroplevelsen, afbrydelse af produktionssystemer samt ødelæggelse af data under sikkerhedsanalyser
- Udelukkende gennemfører analyser inden for de rammer, der fremgår af afsnittet 'Omfattet' nedenfor
- Kun benytter data i det omfang, det er nødvendigt for at bekræfte, at der er et sikkerhedsproblem, og at dette ikke udnyttes videre, når først det er konstateret
- Ikke eksfiltrerer data, etablerer kommandolinjeadgang og/eller vedholdenhed eller pivoterer til andre systemer
- Anvender de fastlagte kommunikationskanaler (se nedenfor) til at indberette sikkerhedsproblemer til os
- Sikrer, at oplysninger om formodede eller bekræftede sikkerhedsproblemer, du har opdaget, forbliver fortrolige mellem dig og os, indtil vi har haft 90 dage til at løse problemet
Omfattet
- www.home.saxo
- Simulation SaxoInvestor
- Simulation SaxoTraderGO
- Simulation SaxoTraderPRO
- Simulation SaxoOpenAPI, direkte eller via www.developer.saxo
Ikke omfattet
Services, der hostes af tredjepartsleverandører og -services, er ikke omfattet. Disse services er:
- Nyhedsfeeds
- Kursfeeds
Af hensyn til sikkerheden for vores brugere, medarbejdere, internettet generelt samt dig som sikkerhedsresearcher, er følgende testtyper ikke omfattet:
- Resultater af fysiske tests såsom adgang til kontorer (f.eks. åbne døre, uautoriseret adgang)
- Resultater, der primært er opnået ved social manipulation (f.eks. phishing, vishing)
- Resultater fra applikationer eller systemer, der ikke er anført i afsnittet 'Omfattet'
- UI- og UX-bugs og stavefejl
- Sårbarheder på netværksniveau i form af Denial of Service (DoS/DDoS)
- Manglende cookieoplysninger og sikkerhedsoverskrifter
- Spam-henvendelser i form af formularer
Oplysninger, vi ikke ønsker at modtage:
- Personidentificerbare oplysninger
- Finansielle data (f.eks. kreditkort- eller bankkontonumre)
- Resultater fra automatiske scanningsværktøjer
Indberetning af sikkerhedsproblemer
Hvis du mener at have fundet et sikkerhedsproblem i et af vores produkter eller platforme, bedes du oplyse os om det ved at sende en e-mail til security@saxobank.com. Indberetningen skal indeholde følgende oplysninger:
- Beskrivelse af det sted, problemet er, og problemets potentielle betydning:
- En detaljeret beskrivelse af de skridt, der er nødvendige for at genskabe dine resultater (PoC scripts, skærmbilleder og komprimerede skærmklip er nyttige for os)
- Dit navn/dæknavn og et link, så vi kan optage dig i vores Hall of Fame.
Hvis du ønsker at kryptere oplysningerne, kan du anvende vores PGP-nøgle. Yderligere oplysninger findes i vores security.txt .
Koordineret offentliggørelse
Vi bestræber os på at rette sikkerhedsproblemer inden for 90 dage eller mindre. En offentliggørelse af sådanne sikkerhedsproblemer før problemet er blevet rettet, vil øge risikoen frem for at mindske den, og for at beskytte vores kunder beder vi dig om ikke at videregive eller dele nogen oplysninger om et potentielt sikkerhedsproblem, før vi har undersøgt, reageret på og rettet det anmeldte sikkerhedsproblem samt informeret vores kunder (hvor det er relevant). Hvor det er relevant, vil vi koordinere offentliggørelsen af et valideret sikkerhedsproblem med dig, og vi vil foretrække, at vores respektive offentliggørelser udsendes samtidig.