Bekijk Juridisch Menu

Beleid van Saxo Group inzake openbaarmaking kwetsbaarheden

We nemen de beveiliging van onze systemen en services serieus en we waarderen de wereldwijde beveiligingsgemeenschap. Verantwoorde openbaarmaking van beveiligingsproblemen helpt ons om de veiligheid en privacy van onze klanten, partners en medewerkers te waarborgen.

Richtlijnen

Als u deze richtlijnen volgt wanneer u een probleem aan ons rapporteert, zullen we:

  • Geen juridische stappen ondernemen of ondersteunen met betrekking tot uw onderzoek met betrekking tot het rapporteren van een dergelijk probleem
  • Met u samenwerken om het probleem te onderkennen en snel te verhelpen (inclusief een initiële bevestiging van uw rapport binnen 72 uur na indiening)
  • Uw bijdrage erkennen, indien u de eerste bent die het probleem rapporteert waarna we een code- of configuratiewijziging doorvoeren op basis van het probleem

We verlangen van alle onderzoekers dat ze:

  • Alles zullen doen ter voorkoming van privacyschendingen, degradatie van gebruikerservaring, onderbreking van productiesystemen en vernietiging van gegevens tijdens een beveiligingsanalyse
  • Een analyse alleen zullen uitvoeren binnen de hieronder beschreven reikwijdte
  • Zwakke plekken alleen zullen gebruiken voor zoverre als nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen en de kwetsbaarheid niet verder zullen misbruiken zodra deze is aangetoond
  • Geen gegevens zullen ontfutselen, geen toegang tot de opdrachtregel zullen bewerkstellingen of openhouden of zich tot andere systemen zullen wenden
  • De gedefinieerde communicatiekanalen zullen gebruiken (zoals hieronder aangegeven) om informatie over kwetsbaarheden aan ons te rapporteren
  • Informatie over vermoede of bevestigde beveiligingsproblemen die ze hebben ontdekt, vertrouwelijk zullen houden tussen henzelf en Saxo Bank totdat we 90 dagen de tijd hebben gehad om het probleem te verhelpen

Reikwijdte

  • www.home.saxo Simulatie
  • SaxoInvestor Simulatie
  • SaxoTraderPRO Simulatie
  • SaxoTraderGO
  • Simulatie SaxoOpenAPI, rechtstreeks of via www.developer.saxo

Buiten reikwijdte

Services die worden gehost door derden vallen buiten de reikwijdte. Deze services omvatten, maar zijn niet beperkt tot:

  • Nieuwsfeeds 
  • Prijsfeeds

In het belang van de veiligheid van onze gebruikers, ons personeel, internet als geheel en u als beveiligingsonderzoeker, zijn de volgende testtypen uitgesloten van de reikwijdte:

  • Bevindingen van fysieke testen zoals kantoortoegang (bijv. openstaande deuren, binnenglippen achter anderen)
  • Bevindingen uit voornamelijk social engineering (bijv. phishing, vishing)
  • Bevindingen uit toepassingen of systemen die niet worden vermeld in de sectie 'Reikwijdte'
  • Fouten en spelfouten in UI en UX
  • Denial of Service (DoS/DDoS)-kwetsbaarheden op netwerkniveau
  • Ontbrekende cookie flags en security headers
  • Formulierspamming
     

Informatie die we niet wensen te ontvangen:

  • personen herleidbare informatie (PII)
  • Financiële gegevens (zoals nummers van creditcard or bankrekening)
  • Resultaten van automatische scanningtools

Rapporteren van beveiligingskwetsbaarheden

Als u denkt dat u een beveiligingsprobleem hebt aangetroffen in een van onze producten of platforms, kunt u dit per e-mail naar ons verzenden op security@saxobank.com. Neem de volgende details in uw rapport op:

  • Beschrijving van de locatie en de potentiële impact van het vastgestelde probleem;
  • Een gedetailleerde beschrijving van de stappen die nodig zijn om uw bevindingen te reproduceren (POC-scripts, schermafdrukken en gecomprimeerde schermopnamen zijn allemaal nuttig voor ons); en
  • Uw naam/handle en een koppeling voor erkenning in onze Hall of Fame.

Als u de informatie wilt coderen, kunt u gebruikmaken van onze  PGP-sleutelur. Zie ons bestand security.txt voor nadere gegevens.

Gecoördineerde openbaarmaking

We streven ernaar om binnen 90 dagen een patch voor de kwetsbaarheid uit te brengen. Openbaarmaking van dergelijke kwetsbaarheden voordat het probleem is verholpen, vergroot echter het risico in plaats van het te reduceren. Om onze klanten te beschermen vragen we u om geen publieke informatie over een potentiële kwetsbaarheid te plaatsen of te delen voordat we de gerapporteerde kwetsbaarheid hebben onderzocht, erop gereageerd en er een patch voor hebben uitgebracht en onze klanten hebben geïnformeerd (waar dit van toepassing is).

Waar dit van toepassing is, zullen we de kennisgeving van een gevalideerde kwetsbaarheid met u coördineren en het heeft onze voorkeur dat onze respectieve openbaarmakingen gelijktijdig worden geplaatst.

Ken de risico’s
Alle handel brengt risico’s met zich mee. Meer info. Om u te helpen meer inzicht te krijgen in de risico’s hebben wij een reeks Essentiële-informatiedocumenten (Eid’s) voor u samengesteld, waarin de risico’s en het rendement met betrekking tot elk product wordt uiteengezet. Op ons handelsplatform kunt u nog aanvullende Essentiële-informatiedocumenten vinden. Meer info

Deze website is wereldwijd toegankelijk, maar de informatie op de website is gerelateerd aan Saxo Bank A/S en is niet specifiek voor Saxo Bank Nederland, wat een entiteit is die wordt gereguleerd door De Autoriteit Financiële Markten(AFM).

De informatie op deze site is niet bedoeld voor inwoners van de VS en België en zijn niet bedoeld voor distributie aan of gebruik door personen die in een land of jurisdictie waar zulke verspreiding en het gebruik in strijd zijn met de lokale wetgeving of regelgeving zou zijn.

Apple, iPad en iPhone zijn handelsmerken van Apple Inc. die geregistreerd zijn in de VS en andere landen. App Store is een dienstmerk van Apple Inc.