Saxo Banks retningslinjer for offentliggjøring av sårbarheter
Vi tar sikkerheten til systemene og tjenestene våre på alvor, og vi verdsetter det globale sikkerhetsfellesskapet. Vi ønsker å ivareta sikkerheten og personvernet til våre kunder, samarbeidspartnere og medarbeidere ved å opplyse om sikkerhetsproblemer på ansvarlig vis.
Retningslinjer
Hvis du følger disse retningslinjene når du rapporterer om problemer til oss, forplikter vi oss til:
- Ikke forfølge eller støtte rettslige skritt vedrørende undersøkelsene du har gjort i forbindelse med rapporteringen av et aktuelt problem
- Å samarbeide med deg om å forstå og løse problemet raskt (herunder å bekrefte rapporten din innen 72 timer)
- Å anerkjenne bidraget ditt hvis du er den første som rapporterer problemet og vi foretar en endring i kode eller konfigurering basert på problemet
Vi krever at alle researchere:
- Gjør alt de kan for å unngå krenkelse av privatlivets fred, degradering av brukeropplevelsen, forstyrrelse av produksjonssystemer samt ødeleggelse av data under sikkerhetsanalysene
- Utelukkende gjennomfører analyser innenfor rammene som fremgår av avsnittet «Omfang» nedenfor
- Utnytter svakheter bare i den grad det er nødvendig for å bekrefte tilstedeværelsen av en sårbarhet, og ikke misbruker sårbarheten ytterligere når den først er bekreftet Ikke filtrerer ut data,
- ikke etablerer kommandolinjeadgang og/eller persistens, eller pivot til andre systemer
- Bruker de angitte kommunikasjonskanalene (se nedenfor) til å rapportere sikkerhetsproblemer til oss
- Sikrer at opplysninger om mistenkte eller bekreftede sikkerhetsproblemer du har oppdaget, forblir fortrolige mellom deg og oss inntil vi har hatt 90 dager til å løse problemet
Omfang
- www.home.saxo
- Simulering SaxoInvestor
- Simulering SaxoTraderPRO
- Simulering SaxoTraderGO
- Simulering SaxoOpenAPI, direkte eller via www.developer.saxo
Utenfor omfanget
Tjenester som drives av tredjepartsleverandører og -tjenester, er ikke omfattet. Disse tjenestene inkluderer:
- Nyhetsfeeder
- Prisfeeds
Av hensyn til sikkerheten for brukerne våre, medarbeiderne våre, internettet generelt samt deg som sikkerhetsresearcher, er følgende testtyper ikke omfattet:
- Resultater av fysiske tester, som for eksempel tilgang til kontorer (f.eks. åpne dører, uautorisert adgang)
- Resultater som primært er oppnådd gjennom sosial manipulasjon (f.eks. phishing, vishing)
- Resultater fra programmer eller systemer som ikke er oppført i avsnittet «Omfang»
- UI- og UX-bugs og stavefeil
- Sårbarheter på nettverksnivå i form av Denial of Service (DoS/DDoS)
- Manglende sikkerhetsoverskrifter og opplysninger om informasjonskapsler
- Skjemaspamming
Opplysninger vi ikke ønsker å motta:
- ID-opplysninger
- Finansielle data (for eksempel kredittkort eller bankkontonummer)
- Resultater fra automatiske skanneverktøy
Rapportering av sikkerhetsproblemer
Hvis du tror at du har funnet et sikkerhetsproblem i et av produktene våre eller i en av plattformene våre, ber vi deg melde fra om det ved å sende en e-post til security@saxobank.com. Rapporten må inneholde følgende opplysninger:
- Beskrivelse av hvor problemet er og problemets potensielle betydning
- En detaljert beskrivelse av de stegene som er nødvendige for å gjenskape resultatene dine (PoC-skripts, skjermbilder og komprimerte skjermklipp er nyttige for oss)
- Ditt navn/dekknavn og en link, slik at vi kan ta deg med i vår Hall of Fame.
Hvis du ønsker å kryptere opplysningene, kan du bruke PGP-nøkkelen vår. Du finner mer informasjon i vår security.txt.
Koordinert offentliggjøring
Vi tar sikte på å rette sårbarheter innen 90 dager eller mindre. Offentliggjøring av slike sårbarheter før problemet er rettet øker risikoen i stedet for å redusere den, og for å beskytte kundene våre ber vi om at du ikke legger ut eller deler informasjon om en potensiell sårbarhet for offentligheten før vi har undersøkt, reagert på og rettet den rapporterte sårbarheten samt informert kundene våre (der det er aktuelt). Der det er aktuelt, vil vi koordinere varsel om et bekreftet sikkerhetsproblem med deg, og vi foretrekker at våre respektive offentliggjøringer legges ut samtidig.