负责任的披露计划
作为数字银行领域的领导者,瑞讯非常关心信息安全。
维护我们系统和服务的机密性、完整性和可用性是我们日常运营的一个重要方面。
计划
瑞讯集团目前没有设立漏洞奖励计划,也未授权对有关其网站和服务的漏洞进行主动研究。尽管如此,如果您发现安全漏洞,我们将非常感谢您的合作并以负责任的方式向我们披露该漏洞。
报告指南
报告应通过电子邮件发送至:vulnerability_disclosure@swissquote.ch,并提供您认为解释问题及其发现方式所需的全部信息。
典型的漏洞报告应包含以下信息:
- 对漏洞及其潜在影响的描述;
- 受影响主机、服务或 URL 的列表;
- 重现漏洞所需的步骤;
- 您发现漏洞的方式;
- 您的联系方式。
每份报告仅提交一个漏洞,除非需要一系列漏洞来衡量影响。我们将确认收到您的报告,但我们不会提供有关我们调查结果的进一步信息。
严格禁止的行为
如上所述,主动研究漏洞(例如扫描)未经授权。另请注意,严格禁止以下行为,这些行为将受到监控:
- 任何可能导致我们服务中断的行为(DoS、DDoS、垃圾邮件等);
- 任何可能威胁用户数据完整性的行为;
- 任何违反用户数据机密性的行为;
- 使用自动化工具查找漏洞;
- 任何欺诈性交易。
对于任何以被视为非法、违法或违反上述规定的方式行事的人员,瑞讯集团保留对其提起法律诉讼的权利。
适用范围
本计划适用于以下内容:
- Swissquote Group Holding SA 被列为注册人机构的域名,更具体地说是“swissquote.ch”和“swissquote.com”下的域名;“library.swissquote.com”不包含在上述范围内;
- YUH SA 被列为注册人机构的域名;
- Swissquote Mobile 在 Android Play Store 上发布的移动应用;
- 瑞讯在 Apple Store 上发布的移动应用。
某些漏洞不属于本计划的范围,其中包括:
- 如果无法证明明显的可利用性,则为过时或易受攻击的软件版本;
- 需要非同一般的先验知识(例如会话令牌)作为先决条件的漏洞;
- 缺少采用 SSL/TLS 配置的最佳实践;
- 社会工程相关问题;
- 瑞讯集团财产的物理安全。