Oversikt over lovmeny

Saxo Banks retningslinjer for offentliggjøring av sårbarheter

Vi tar sikkerheten til systemene og tjenestene våre på alvor, og vi verdsetter det globale sikkerhetsfellesskapet. Vi ønsker å ivareta sikkerheten og personvernet til våre kunder, samarbeidspartnere og medarbeidere ved å opplyse om sikkerhetsproblemer på ansvarlig vis.

Retningslinjer

Hvis du følger disse retningslinjene når du rapporterer om problemer til oss, forplikter vi oss til:

  • Ikke forfølge eller støtte rettslige skritt vedrørende undersøkelsene du har gjort i forbindelse med rapporteringen av et aktuelt problem
  • Å samarbeide med deg om å forstå og løse problemet raskt (herunder å bekrefte rapporten din innen 72 timer)
  • Å anerkjenne bidraget ditt hvis du er den første som rapporterer problemet og vi foretar en endring i kode eller konfigurering basert på problemet

Vi krever at alle researchere:

  • Gjør alt de kan for å unngå krenkelse av privatlivets fred, degradering av brukeropplevelsen, forstyrrelse av produksjonssystemer samt ødeleggelse av data under sikkerhetsanalysene
  • Utelukkende gjennomfører analyser innenfor rammene som fremgår av avsnittet «Omfang» nedenfor
  • Utnytter svakheter bare i den grad det er nødvendig for å bekrefte tilstedeværelsen av en sårbarhet, og ikke misbruker sårbarheten ytterligere når den først er bekreftet Ikke filtrerer ut data,
  • ikke etablerer kommandolinjeadgang og/eller persistens, eller pivot til andre systemer
  • Bruker de angitte kommunikasjonskanalene (se nedenfor) til å rapportere sikkerhetsproblemer til oss
  • Sikrer at opplysninger om mistenkte eller bekreftede sikkerhetsproblemer du har oppdaget, forblir fortrolige mellom deg og oss inntil vi har hatt 90 dager til å løse problemet

Omfang

  • www.home.saxo
  • Simulering SaxoInvestor
  • Simulering SaxoTraderPRO
  • Simulering SaxoTraderGO
  • Simulering SaxoOpenAPI, direkte eller via www.developer.saxo

Utenfor omfanget

Tjenester som drives av tredjepartsleverandører og -tjenester, er ikke omfattet. Disse tjenestene inkluderer:

  • Nyhetsfeeder
  • Prisfeeds

Av hensyn til sikkerheten for brukerne våre, medarbeiderne våre, internettet generelt samt deg som sikkerhetsresearcher, er følgende testtyper ikke omfattet:

  • Resultater av fysiske tester, som for eksempel tilgang til kontorer (f.eks. åpne dører, uautorisert adgang)
  • Resultater som primært er oppnådd gjennom sosial manipulasjon (f.eks. phishing, vishing)
  • Resultater fra programmer eller systemer som ikke er oppført i avsnittet «Omfang»
  • UI- og UX-bugs og stavefeil
  • Sårbarheter på nettverksnivå i form av Denial of Service (DoS/DDoS)
  • Manglende sikkerhetsoverskrifter og opplysninger om informasjonskapsler
  • Skjemaspamming
     

Opplysninger vi ikke ønsker å motta:

  • ID-opplysninger
  • Finansielle data (for eksempel kredittkort eller bankkontonummer)
  • Resultater fra automatiske skanneverktøy

Rapportering av sikkerhetsproblemer

Hvis du tror at du har funnet et sikkerhetsproblem i et av produktene våre eller i en av plattformene våre, ber vi deg melde fra om det ved å sende en e-post til security@saxobank.com. Rapporten må inneholde følgende opplysninger:

  • Beskrivelse av hvor problemet er og problemets potensielle betydning
  • En detaljert beskrivelse av de stegene som er nødvendige for å gjenskape resultatene dine (PoC-skripts, skjermbilder og komprimerte skjermklipp er nyttige for oss)
  • Ditt navn/dekknavn og en link, slik at vi kan ta deg med i vår Hall of Fame.

Hvis du ønsker å kryptere opplysningene, kan du bruke PGP-nøkkelen vår. Du finner mer informasjon i vår security.txt.

Koordinert offentliggjøring

Vi tar sikte på å rette sårbarheter innen 90 dager eller mindre. Offentliggjøring av slike sårbarheter før problemet er rettet øker risikoen i stedet for å redusere den, og for å beskytte kundene våre ber vi om at du ikke legger ut eller deler informasjon om en potensiell sårbarhet for offentligheten før vi har undersøkt, reagert på og rettet den rapporterte sårbarheten samt informert kundene våre (der det er aktuelt). Der det er aktuelt, vil vi koordinere varsel om et bekreftet sikkerhetsproblem med deg, og vi foretrekker at våre respektive offentliggjøringer legges ut samtidig.

Saxo Bank A/S (hovedkontor)
Philip Heymans Alle 15
Hellerup
Danmark

Norge

Kjenn risikoen
All handel innebærer risiko. Les mer. Derfor har vi utarbeidet en serie med nøkkelinformasjonsdokumenter (Key Information Document – KID) som forklarer hva slags risiko og gevinst som er knyttet til de enkelte produktene. Andre nøkkelinformasjonsdokumenter finner du på handelsplattformen vår. Les mer

Saxo Bank A/S er inkorporert i Danmark som en lisensiert bank (lisensnr. 1149) og er regulert av det danske Finanstilsynet, Århusgade 110, 2100, København Ø, Danmark.

Du kan se flere detaljer om Finanstilsynet og lisensen til Saxo Bank A/S på www.finanstilsynet.dk. Som medlem av EU har Danmark inkorporert EU-direktivene for bank og investering i de danske lovene.