Informazioni legali

Politica sulla divulgazione delle vulnerabilità di Saxo

Nel Gruppo Saxo (di cui BG SAXO SIM S.p.a. è parte) prendiamo molto sul serio la sicurezza dei nostri sistemi e dei nostri servizi e apprezziamo la comunità globale sulla sicurezza. La responsabile divulgazione delle nostre vulnerabilità in tema di sicurezza ci aiuta a garantire la sicurezza e la privacy dei nostri clienti, partner e dipendenti.

Linee guida

Qualora vi atteniate a queste linee guida nel comunicarci un problema, ci impegniamo a:

  • Non avviare né sostenere alcuna azione legale in relazione alla vostra ricerca relativa alla segnalazione del problema.
  • Lavorare con voi per comprendere e risolvere rapidamente il problema (inclusa una conferma iniziale della vostra segnalazione entro 72 ore dal suo invio).
  • Riconoscere il vostro contributo, qualora siate i primi a segnalare il problema e da questo sia derivata una modifica di codice o di configurazione.

Chiediamo che tutti i ricercatori:

  • Facciano ogni sforzo per evitare violazioni della privacy, deterioramento dell’esperienza degli utenti, interruzioni dei sistemi di produzione e distruzione di dati durante le analisi di sicurezza.
  • Svolgano analisi solo all’interno dell’ambito sotto definito
  • Utilizzino i canali di comunicazione definiti (sotto elencati) per segnalarci informazioni circa la vulnerabilità
  • Mantengano le informazioni su problemi di sicurezza, sospetti o confermati, che abbiano rilevato, confidenziali fra sé stessi e Saxo Bank fino a che abbiamo avuto 90 giorni per risolvere il problema

Ambito

  • www.home.saxo
  • Simulazione SaxoTraderPRO
  • Simulazione SaxoTraderGO
  • Simulazione SaxoOpenAPI, direttamente o attraverso www.developer.saxo

Fuori ambito

Qualunque servizio ospitato da fornitori e servizi terzi sono esclusi dall’ambito. Questi servizi includono:

  • Feed di notizie
  • Feed di prezzi

Nell’interesse della sicurezza dei nostri utenti e del nostro personale, di Internet nel suo insieme e vostra, come ricercatori per la sicurezza, i seguenti tipi di test sono esclusi dall’ambito:

  • Risultati derivanti da test fisici, come l’accesso a uffici (per es. porte aperte, tallonamento)
  • Risultati derivanti principalmente da social engineering (per es. phishing, vishing)
  • Risultati derivanti da applicazioni o sistemi non elencati nella sezione “Ambito”
  • Bug ed errori ortografici nell’interfaccia utente (UI) o nell’esperienza dell’utente (UX)
  • Vulnerabilità di tipo Denial of service (DoS/DDoS) a livello di rete
  • Mancanza di flag nei cookie e di intestazioni di sicurezza
  • Spamming con moduli

Informazioni che non desideriamo ricevere:

  • Informazioni personalmente identificabili (PII)
  • Dati sui titolari di carte di credito
  • Risultati derivanti da strumenti di scansione automatici

Segnalazione delle vulnerabilità di sicurezza

Se ritenete di avere individuato un problema di sicurezza in uno dei nostri prodotti o piattaforme, segnalatecelo inviando una e-mail all’indirizzo security@saxobank.com. Vi invitiamo a includere le seguenti informazioni nella segnalazione:

  • Descrizione della posizione e potenziale impatto del o dei problemi rilevati
  • Una descrizione dettagliata dei passi necessari per riprodurre il problema riscontrato (script POC, immagini di schermate e acquisizioni di schermate compresse sono tutti elementi utili)
  • Il vostro nome/handle e un link per riconoscimento nella nostra Hall of Fame

Se desiderate crittografare le informazioni, potete utilizzare la nostra chiave PGP. Consultare security.txt per ulteriori dettagli.