檢視法律選單

盛寶金融安全漏洞披露政策

我們非常認真看待系統及服務的安全,並重視全球安全共同體的重要性。以負責任的方式披露安全漏洞,有助我們確保客戶、合作夥伴以及員工的安全和私隱。

指引

如果您依照這些指引向我們報告問題,我們承諾:

  • 不會因您的調查而採取或支援一切有關的法律行動
  • 與您合作以迅速了解並解決問題(包括在您報告問題的 72 小時內初步確認您的問題報告)
  • 如果您是第一人報告此問題,而我們根據此問題修改了代碼或設定,我們將表揚您的貢獻

我們要求所有研究人員:

  • 竭盡全力避免在進行安全分析時侵犯私隱、降低用戶體驗、破壞生產系統以及破壞數據
  • 僅在下述範圍內分析問題
  • 只可使用所需要程度的漏洞利用以證明安全漏洞的存在,一旦確認,切勿進一步濫用
  • 切勿外洩數據、建立命令行接口並/或持續進行,或導向第三方系統
  • 使用指定的溝通渠道(如下所示)向我們報告漏洞資料
  • 在我們於 90 日時間內解決問題前,將您發現的所有疑似或確定的安全問題保密,只有您及盛寶銀行可得知有關資料

範圍

  • www.home.saxo
  • 模擬 SaxoInvestor
  • 模擬 SaxoTraderPRO
  • 模擬 SaxoTraderGO
  • 直接或透過 www.developer.saxo 模擬 SaxoOpenAPI

範圍以外

所有第三方供應商提供的服務均屬範圍之外。這些服務包括:

  • 新聞提要
  • 報價

為確保用戶、員工、整體網絡,以及您作為安全研究人員的安全,以下測試類別均屬範圍之外:

  • 實體測試的調查結果,例如進出辦公室(例如開門或尾隨)
  • 從社交工程衍生的調查結果(例如網絡釣魚或語音釣魚)
  • 從「範圍」部分未有列出的申請或系統中獲取的調查結果
  • UI 及 UX 漏洞及拼寫錯誤
  • 網絡級阻斷服務 (DoS/DDoS) 漏洞
  • 缺少的 Cookie 標籤及安全標頭
  • 表格類垃圾郵件

我們不希望接收的資訊:

  • 個人可識別資訊 (PII)
  • 財務數據(如信用卡、銀行賬戶號碼)
  • 自動掃瞄工具的搜尋結果

報告安全漏洞

如果您認為在我們的產品或平台上發現問題,請傳送電郵至 security@saxobank.com 向我們提供相關資料。請在報告時提供以下詳細資料:

  • 描述問題的位置及潛在影響;
  • 詳細描述您發現問題的步驟以重現調查結果(POC 指令碼、螢幕截圖以及壓縮的螢幕截圖均非常有用);以及
  • 您的名字/用戶名稱以及連結,以便我們在名人堂表揚您。

如果您希望加密資料,可以使用我們的 PGP 密鑰。請查閱 security.txt 了解詳情。

協同披露

我們爭取於90天甚至更短時間內修復漏洞。但請注意,在問題得以修正前,公開揭露漏洞會增加而非減少安全風險。同時,為維護本公司客戶權益,我們懇請您切勿公開或分享任何關於潛在漏洞的信息,直至公司介入調查、對上報漏洞進行回應和修復,並通知我們的客戶(如適用)。

如適用,對經證實的漏洞,我們會與您協調公佈,並希望雙方可以同時各自披露。

盛寶金融(香港)有限公司持有由香港證券及期貨事務監察委員會發出的第1類受規管活動 (證券交易)﹔第2類受規管活動(期貨交易)及第3類受規管活動(槓桿式外匯交易)的牌照(中央號碼:AVD061)。註冊地址:中環皇后大道中12號上海商業銀行大廈19樓

點擊本站的連結,代表您瞭解和同意離開盛寶金融網站,前往由盛寶銀行集團管理的網站,並接受其條款的約束。

Apple,iPad和iPhone是Apple Inc.在美國和其他國家註冊的商標。 AppStore是Apple Inc.的服務標誌。

本網站所提供的信息以及盛寶金融提供的任何產品和服務不適用於美國和日本居住的投資者,亦非意圖分發給會違反當地國家或轄區內之法律或法規的任何人。請點擊查看完整免責聲明。