盛宝安全隐患披露政策
我们认真对待系统与服务的安全性,并且重视全球安全共同体。负责任地披露安全漏洞有助于我们确保客户、合作伙伴和员工的安全与隐私。
准则
如果您在向我们报告问题时遵循这些准则,我们承诺:
- 不会采取或支持任何与您对报告此类问题的调查有关的法律行动
- 与您合作以快速了解并解决相关问题(包括在提交报告后 72 小时内对您的报告进行初步确认)
- 如果您是第一个报告问题的人,并且我们根据报告的问题进行代码或配置更改,我们则将认可您的贡献
我们要求所有研究人员:
- 尽一切努力避免隐私遭受侵害、用户体验降级以及生产系统被中断,并且避免在安全性分析期间数据遭受破坏
- 仅在下列范围内进行分析
- 只可使用所需要程度的漏洞利用以证明安全漏洞的存在,一旦确认,切勿进一步滥用。
- 切勿外泄数据、建立命令行接口并/或持续进行,或导向第三方系统。
- 使用已确定的沟通渠道(如下所示)向我们报告漏洞信息
- 在我们用 90 天的时间来解决问题之前,对您所发现的任何可疑或已确认的安全问题的信息保密
范围
- www.cn.saxobank.com
- 模拟 SaxoInvestor
- 模拟 SaxoTraderPRO 下载版交易平台
- 模拟 SaxoTraderGO 移动版交易平台
- 直接或通过 www.developer.saxo 模拟 SaxoOpenAPI
范围之外
任何由第三方提供商托管的服务均在范围之外。这些服务包括:
- 新闻摘要
- 价格动态
为了我们的用户、员工、整个互联网以及您作为安全性研究员的安全起见,以下测试类型被排除在范围之外:
- 物理测试结果,如进出办公室(例如开门、尾随)
- 主要来自社会工程的发现(例如网络钓鱼诈骗、电话钓鱼诈骗)
- “范围”一节中未列出来自应用程序或系统的调查结果
- UI 和 UX 故障和拼写错误
- 网络级拒绝服务(DoS/ DDoS)漏洞
- 缺少 cookie 标志和安全标头
- 表格填写类垃圾邮件
我们不想接收的信息:
- 个人可识别信息(PII)
- 财务数据(如信用卡、银行账户号码)
- 自动扫描工具的结果
报告安全隐患
如果您认为您在我们的某个产品或平台中发现了安全问题,请发送电子邮件至 security@saxobank.com 告知我们。请在报告中附上以下详细信息:
- 描述所发现问题的位置和潜在影响;
- 详细描述重现您的发现的所需步骤(POC 脚本、截图和压缩屏幕截图均对我们有帮助);和
- 您的名字/用户名,以及我们名人堂的认可链接。
如果您希望加密信息,您可以使用我们的 PGP 密钥。有关详细信息,请参阅我们的 security.txt。
协同披露
我们争取于90天甚至更短时间内修复漏洞。但请注意,在问题得以修正前,公开揭露漏洞会增加而非减少安全风险。同时,为维护本公司客户权益,我们恳请您切勿公开或分享任何关于潜在漏洞的信息,直至公司介入调查、对上报漏洞进行回应和修复,并通知我们的客户(如适用)。
如适用,对经证实的漏洞,我们会与您协调公布,并希望双方可以同时各自披露。