Informazioni legali

Politica sulla divulgazione delle vulnerabilità del Gruppo Saxo

Nel Gruppo Saxo (di cui BG SAXO SIM S.p.a. è parte) prendiamo molto sul serio la sicurezza dei nostri sistemi e dei nostri servizi e apprezziamo la comunità globale sulla sicurezza. La responsabile divulgazione delle nostre vulnerabilità in tema di sicurezza ci aiuta a garantire la sicurezza e la privacy dei nostri clienti, partner e dipendenti.

Linee guida

Qualora vi atteniate a queste linee guida nel comunicarci un problema, ci impegniamo a:

  • Non avviare né sostenere alcuna azione legale in relazione alla vostra ricerca relativa alla segnalazione del problema.
  • Lavorare con voi per comprendere e risolvere rapidamente il problema (inclusa una conferma iniziale della vostra segnalazione entro 72 ore dal suo invio).
  • Riconoscere il vostro contributo, qualora siate i primi a segnalare il problema e da questo sia derivata una modifica di codice o di configurazione.

Chiediamo che tutti i ricercatori:

  • Facciano ogni sforzo per evitare violazioni della privacy, deterioramento dell’esperienza degli utenti, interruzioni dei sistemi di produzione e distruzione di dati durante le analisi di sicurezza.
  • Svolgano analisi solo all’interno dell’ambito sotto definito.
  • Utilizzino gli exploit solo nella misura necessaria per confermare la presenza di una vulnerabilità e, una volta stabilita, non ne abusino ulteriormente.
  • Non estraggano dati, non stabiliscano l'accesso e/o la persistenza alla riga di comando, né passino ad altri sistemi.
  • Utilizzino i canali di comunicazione definiti (sotto elencati) per segnalarci informazioni circa la vulnerabilità
  • Mantengano le informazioni su problemi di sicurezza, sospetti o confermati, che abbiano rilevato, confidenziali fra sé stessi e Saxo Bank fino a che abbiamo avuto 90 giorni per risolvere il problema

Ambito

  • www.home.saxo
  • Simulazione SaxoInvestor
  • Simulazione SaxoTraderPRO
  • Simulazione SaxoTraderGO
  • Simulazione SaxoOpenAPI, direttamente o attraverso www.developer.saxo

Fuori ambito

Qualunque servizio ospitato da fornitori e servizi terzi sono esclusi dall’ambito. Questi servizi includono:

  • Feed di notizie
  • Feed di prezzi

Nell’interesse della sicurezza dei nostri utenti e del nostro personale, di Internet nel suo insieme e vostra, come ricercatori per la sicurezza, i seguenti tipi di test sono esclusi dall’ambito:

  • Risultati derivanti da test fisici, come l’accesso a uffici (per es. porte aperte, tallonamento)
  • Risultati derivanti principalmente da social engineering (per es. phishing, vishing)
  • Risultati derivanti da applicazioni o sistemi non elencati nella sezione “Ambito”
  • Bug ed errori ortografici nell’interfaccia utente (UI) o nell’esperienza dell’utente (UX)
  • Vulnerabilità di tipo Denial of service (DoS/DDoS) a livello di rete
  • Mancanza di flag nei cookie e di intestazioni di sicurezza
  • Spamming con moduli
     

Informazioni che non desideriamo ricevere:

  • Informazioni personalmente identificabili (PII)
  • Dati finanziari (ad esempio numeri di conti bancari o carte di credito)
  • Risultati derivanti da strumenti di scansione automatici

Segnalazione delle vulnerabilità di sicurezza

Se ritenete di avere individuato un problema di sicurezza in uno dei nostri prodotti o piattaforme, segnalatecelo inviando una e-mail all’indirizzo security@saxobank.com. Vi invitiamo a includere le seguenti informazioni nella segnalazione:

  • Descrizione della posizione e potenziale impatto del o dei problemi rilevati
  • Una descrizione dettagliata dei passi necessari per riprodurre il problema riscontrato (script POC, immagini di schermate e acquisizioni di schermate compresse sono tutti elementi utili)
  • Il vostro nome/handle e un link per riconoscimento nella nostra Hall of Fame

Se desiderate crittografare le informazioni, potete utilizzare la nostra chiave PGP. Consultare security.txt per ulteriori dettagli.

Divulgazione coordinata

Intendiamo correggere le vulnerabilità entro e non oltre 90 giorni. Tuttavia, la divulgazione pubblica di tali vulnerabilità prima della risoluzione del problema aumenterà il rischio anziché ridurlo e, al fine di proteggere i nostri clienti, vi richiediamo di non pubblicare né condividere pubblicamente informazioni riguardanti una potenziale vulnerabilità fino a quando non avremo indagato, risposto e corretto la vulnerabilità segnalata e informato i nostri clienti (ove applicabile). Ove applicabile, coordineremo con voi la notifica di una vulnerabilità convalidata e preferiremmo che le nostre rispettive divulgazioni fossero pubblicate contemporaneamente.