Richtlinie der Saxo Gruppe zur Offenlegung von Sicherheitslücken
Wir nehmen die Sicherheit unserer Systeme und Dienste ernst und schätzen die globale Sicherheitsgemeinschaft. Durch die verantwortungsvolle Offenlegung von Sicherheitslücken können wir die Sicherheit und den Datenschutz unserer Kunden, Partner und Mitarbeiter gewährleisten.
Richtlinien
Wenn Sie bei der Meldung eines Problems diese Richtlinien befolgen, verpflichten wir uns:
- Keine rechtlichen Schritte im Zusammenhang mit Ihrer Recherche einzuleiten oder zu unterstützen.
- Mit Ihnen zusammenzuarbeiten, um das Problem zu verstehen und schnell zu lösen (einschliesslich einer Eingangsbestätigung Ihres Berichts innerhalb von 72 Stunden nach Einreichung).
- Ihren Beitrag anzuerkennen, wenn Sie der/die Erste sind, der/die das Problem meldet, und wir basierend auf dem Problem ein Code- oder Konfigurationsänderung vornehmen.
Unsere Anforderungen
- Versuchen Sie nach besten Kräften Datenschutzverletzungen, eine Beeinträchtigung der Benutzererfahrung, eine Störung der Produktionssysteme und die Vernichtung von Daten während der Sicherheitsanalyse zu vermeiden.
- Führen Sie die Analyse nur innerhalb des unten angegebenen Geltungsbereiches durch.
- Nutzen Sie Exploits nur in dem notwendigen Umfang, um eine Schwachstelle aufzudecken und missbrauchen Sie die Schwachstelle nach der Aufdeckung nicht weiter.
- Filtern Sie keine Daten heraus, erstellen Sie keinen Befehlszeilenzugriff und/oder keine Fortdauer und leiten Sie es nicht auf andere Systeme weiter.
- Verwenden Sie die festgelegten Kommunikationskanäle (wie unten angegeben), um Informationen zu Sicherheitslücken zu melden.
- Behandeln Sie Informationen zu verdächtigen oder bestätigten Sicherheitsproblemen, die Sie entdeckt haben, zwischen Ihnen und der Saxo Bank vertraulich und gewähren Sie uns zur Lösung des Problems einen Zeitraum von 90 Tagen.
Geltungsbereich
- www.home.saxo
- Simulation SaxoInvestor
- Simulation SaxoTraderPRO
- Simulation SaxoTraderGO
- Simulation SaxoOpenAPI, direkt oder über www.developer.saxo
Ausserhalb des Geltungsbereiches
Von Drittanbietern gehostete Dienste und Dienste im Allgemeinen sind vom Geltungsbereich ausgeschlossen. Dazu gehören folgende:
- Newsfeeds
- Preisangaben
Folgende Prüfarten sind im Interesse der Sicherheit unserer Nutzer, Mitarbeiter, des Internets sowie Ihres Interesses als Sicherheitsanalyst vom Anwendungsbereich ausgeschlossen:
- Ergebnisse aus physischen Tests wie dem Bürozugang (z. B. offene Türen)
- Erkenntnisse, die hauptsächlich aus dem Bereich des Social Engineerings stammen (z. B. Phishing, Vishing)
- Ergebnisse von Anwendungen oder Systemen, die nicht im Abschnitt „Geltungsbereich“ aufgeführt sind
- UI- und UX-Bugs und Schreibfehler
- Sicherheitslücken auf Netzwerkebene durch Denial-of-Service (DoS/DDoS)
- Fehlende Cookie-Hinweise und Sicherheitsheader
- Formular-Spam
Informationen, die wir nicht erhalten möchten:
- Persönlich identifizierbare Informationen (PII)
- Finanzdaten (z. B. Kreditkarte oder Bankkontonummern)
- Ergebnisse von automatisierten Scan-Tools
Meldung von Sicherheitslücken
Wenn Sie glauben, ein Sicherheitsproblem in einem unserer Produkte oder auf einer unserer Plattformen erkannt zu haben, teilen Sie es uns per E-Mail an security@saxobank.com mit. Bitte fügen Sie Ihrem Bericht die folgenden Informationen bei:
- Beschreibung des Fundorts und mögliche Auswirkungen des festgestellten Problems bzw. der festgestellten Probleme,
- eine detaillierte Beschreibung der Schritte, die erforderlich sind, um Ihre Ergebnisse nachzuvollziehen (hilfreich sind POC-Skripte, Screenshots und komprimierte Screenshots) und
- Ihr Name/Alias und einen Link für die Auszeichnung in unserer Hall of Fame.
Wenn Sie die Informationen verschlüsseln möchten, können Sie unseren PGP-Schlüssel verwenden. Weitere Informationen finden Sie in unserer security.txt-Datei.
Abgestimmte Offenlegung
Wir beabsichtigen, Schwachstellen innerhalb von maximal 90 Tagen zu beheben. Die öffentliche Bekanntgabe solcher Schwachstellen vor der Behebung vergrössert jedoch das Risiko, anstatt es zu verringern. Zum Schutz unserer Kunden bitten wir Sie, in der Öffentlichkeit keine Informationen über mögliche Schwachstellen zu posten oder weiterzugeben, bis wir die Angelegenheit untersucht, darauf reagiert, die Schwachstelle behoben und gegebenenfalls unsere Kunden informiert haben. Gegebenenfalls werden wir die Mitteilung einer validierten Schwachstelle mit Ihnen abstimmen. Wir würden es bevorzugen, wenn unsere jeweiligen Offenlegungen gleichzeitig erfolgen.