Dla Instytucji
Logowanie Otwórz rachunek
Polska

Polityka ujawniania podatności Grupy Saxo

Bezpieczeństwo naszych systemów i usług traktujemy bardzo poważnie i cenimy globalną społeczność bezpieczeństwa. Odpowiedzialne ujawnianie luk w zabezpieczeniach pomaga nam zapewnić bezpieczeństwo i prywatność naszych klientów, partnerów i pracowników.

Wytyczne

Jeśli użytkownik zastosuje się do tych wytycznych podczas zgłaszania nam problemu, zobowiązujemy się:

  • Nie podejmować ani nie wspierać żadnych działań prawnych związanych z badaniami dotyczącymi zgłaszania takiego problemu.
  • Współpracować z Tobą w celu zrozumienia i szybkiego rozwiązania problemu (w tym wstępne potwierdzenie zgłoszenia w ciągu 72 godzin od jego przesłania).
  • Uznanie Twojego wkładu, jeśli jako pierwszy zgłosiłeś problem, a my wprowadzimy zmianę kodu lub konfiguracji w oparciu o ten problem.

Wymagamy, aby wszyscy badacze:

  • Dołożyli wszelkich starań, aby uniknąć naruszeń prywatności, pogorszenia komfortu użytkowania, zakłóceń w systemach produkcyjnych i zniszczenia danych podczas analizy bezpieczeństwa.
  • Przeprowadzili analizę wyłącznie w zakresie określonym poniżej
  • Używali wyłącznie technik niezbędnych do potwierdzenia istnienia podatności, a po jej stwierdzeniu nie wykorzystywali tej podatności dalej.
  • Nie dokonywali eksfiltracji danych, nie ustanawiali dostępu z wiersza poleceń i/lub trwałości ani nie przenosili się do innych systemów.
  • Korzystali ze zdefiniowanych kanałów komunikacji (określonych poniżej), aby zgłaszać nam informacje o podatności.
  • Zachowywali poufność informacji o wszelkich podejrzanych lub potwierdzonych problemach bezpieczeństwa, które zidentyfikowali, utrzymując je wyłącznie między nimi a Saxo Bankiem, do czasu upływu 90 dni przeznaczonych na rozwiązanie problemu.

Zakres

  • www.home.saxo
  • Symulacja SaxoInvestor
  • Symulacja SaxoTrader dla przeglądarki, urządzeń mobilnych i komputerów stacjonarnych
  • Symulacja SaxoOpenAPI, bezpośrednio lub za pośrednictwem www.developer.saxo

Poza zakresem

Wszelkie usługi hostowane przez zewnętrznych dostawców są wyłączone z zakresu. Usługi te obejmują:

  • Kanały informacyjne
  • Kanały cenowe

W interesie bezpieczeństwa naszych użytkowników, pracowników, całego Internetu i Ciebie jako badacza bezpieczeństwa, następujące typy testów są wyłączone z zakresu:

  • Wyniki testów fizycznych, takich jak dostęp do biura (np. otwarte drzwi, tailgating)
  • Ustalenia pochodzące głównie z inżynierii społecznej (np. phishing, vishing)
  • Ustalenia z aplikacji lub systemów niewymienionych w sekcji "Zakres"
  • Błędy UI i UX oraz błędy ortograficzne
  • Podatności na poziomie sieci związane z odmową usługi (DoS/DDoS)
  • Brakujące flagi plików cookie i nagłówki zabezpieczeń
  • Spamowanie formularzy

Informacje, których nie chcemy otrzymywać:

  • Informacje umożliwiające identyfikację osoby (PII)
  • Dane finansowe (takie jak numery kart kredytowych lub kont bankowych)
  • Wyniki narzędzi do automatycznego skanowania

Zgłaszanie luk w zabezpieczeniach

Jeśli uważasz, że znalazłeś błąd bezpieczeństwa w jednym z naszych produktów lub platform, prześlij go do nas e-mailem na adres security@saxobank.com. Prosimy o podanie następujących informacji w raporcie:

  • Opis lokalizacji i potencjalnego wpływu zidentyfikowanych problemów;
  • Szczegółowy opis kroków wymaganych do odtworzenia wyników (skrypty POC, zrzuty ekranu i skompresowane nagrania ekranu są dla nas pomocne); i
  • Twoje imię i nazwisko/pseudonim oraz link do wyróżnienia w naszej Galerii Sław.

Jeśli chcesz zaszyfrować informacje, możesz użyć naszego klucza PGP. Więcej informacji można znaleźć na stronie security.txt .

Skoordynowane ujawnianie informacji

Naszym celem jest łatanie luk w ciągu 90 dni lub krócej. Jednak publiczne ujawnienie takich podatności przed usunięciem problemu zwiększa ryzyko zamiast je ograniczać. Dlatego, aby chronić naszych klientów, prosimy, aby nie publikowali ani nie udostępniali Państwo żadnych informacji o potencjalnej podatności do czasu, gdy przeprowadzimy analizę, przekażemy odpowiedź, usuniemy zgłoszoną podatność i poinformujemy naszych klientów (jeśli dotyczy).

W stosownych przypadkach skoordynujemy z Tobą powiadomienie o potwierdzonej podatności i preferujemy, aby nasze i Twoje ujawnienia zostały opublikowane jednocześnie.


Philip Heymans Alle 15
2900 Hellerup
Dania

Skontaktuj się z Saxo

Polska
Polska
Produkty i ceny
Platformy
Rachunki i usługi
Ogólne
Inne
Informacje prawne

Warning

Wszelkie działania związane z handlem i inwestowaniem wiążą się z ryzykiem, w tym, ale nie tylko, z możliwością utraty całej zainwestowanej kwoty.

Informacje na naszej międzynarodowej stronie internetowej (wybranej z rozwijanego menu globu) są dostępne na całym świecie i odnoszą się do Saxo Bank A/S jako spółki macierzystej Grupy Saxo Bank. Wszelkie wzmianki o Grupie Saxo Bank odnoszą się do całej organizacji, w tym do spółek zależnych i oddziałów pod Saxo Bank A/S. Umowy z klientami są zawierane z odpowiednim podmiotem Saxo w oparciu o kraj zamieszkania i są regulowane przez obowiązujące przepisy prawa jurysdykcji tego podmiotu.

Apple i logo Apple są znakami towarowymi Apple Inc., zarejestrowanymi w USA i innych krajach. App Store jest znakiem usługowym Apple Inc. Google Play i logo Google Play są znakami towarowymi Google LLC.