盛寶金融安全漏洞披露政策
我們非常認真看待系統及服務的安全,並重視全球安全共同體的重要性。以負責任的方式披露安全漏洞,有助我們確保客戶、合作夥伴以及員工的安全和私隱。
指引
如果您依照這些指引向我們報告問題,我們承諾:
- 不會因您的調查而採取或支援一切有關的法律行動
- 與您合作以迅速了解並解決問題(包括在您報告問題的 72 小時內初步確認您的問題報告)
- 如果您是第一人報告此問題,而我們根據此問題修改了代碼或設定,我們將表揚您的貢獻
我們要求所有研究人員:
- 竭盡全力避免在進行安全分析時侵犯私隱、降低用戶體驗、破壞生產系統以及破壞數據
- 僅在下述範圍內分析問題
- 只可使用所需要程度的漏洞利用以證明安全漏洞的存在,一旦確認,切勿進一步濫用
- 切勿外洩數據、建立命令行接口並/或持續進行,或導向第三方系統
- 使用指定的溝通渠道(如下所示)向我們報告漏洞資料
- 在我們於 90 日時間內解決問題前,將您發現的所有疑似或確定的安全問題保密,只有您及盛寶銀行可得知有關資料
範圍
- www.home.saxo
- 模擬 SaxoInvestor
- 模擬 SaxoTraderPRO
- 模擬 SaxoTraderGO
- 直接或透過 www.developer.saxo 模擬 SaxoOpenAPI
範圍以外
所有第三方供應商提供的服務均屬範圍之外。這些服務包括:
- 新聞提要
- 報價
為確保用戶、員工、整體網絡,以及您作為安全研究人員的安全,以下測試類別均屬範圍之外:
- 實體測試的調查結果,例如進出辦公室(例如開門或尾隨)
- 從社交工程衍生的調查結果(例如網絡釣魚或語音釣魚)
- 從「範圍」部分未有列出的申請或系統中獲取的調查結果
- UI 及 UX 漏洞及拼寫錯誤
- 網絡級阻斷服務 (DoS/DDoS) 漏洞
- 缺少的 Cookie 標籤及安全標頭
- 表格類垃圾郵件
我們不希望接收的資訊:
- 個人可識別資訊 (PII)
- 財務數據(如信用卡、銀行賬戶號碼)
- 自動掃瞄工具的搜尋結果
報告安全漏洞
如果您認為在我們的產品或平台上發現問題,請傳送電郵至 security@saxobank.com 向我們提供相關資料。請在報告時提供以下詳細資料:
- 描述問題的位置及潛在影響;
- 詳細描述您發現問題的步驟以重現調查結果(POC 指令碼、螢幕截圖以及壓縮的螢幕截圖均非常有用);以及
- 您的名字/用戶名稱以及連結,以便我們在名人堂表揚您。
如果您希望加密資料,可以使用我們的 PGP 密鑰。請查閱 security.txt 了解詳情。
協同披露
我們爭取於90天甚至更短時間內修復漏洞。但請注意,在問題得以修正前,公開揭露漏洞會增加而非減少安全風險。同時,為維護本公司客戶權益,我們懇請您切勿公開或分享任何關於潛在漏洞的信息,直至公司介入調查、對上報漏洞進行回應和修復,並通知我們的客戶(如適用)。
如適用,對經證實的漏洞,我們會與您協調公佈,並希望雙方可以同時各自披露。