ПРОГРАММА ОТВЕТСТВЕННОГО РАСКРЫТИЯ ИНФОРМАЦИИ О НАЙДЕННЫХ УЯЗВИМОСТЯХ
Поддержание конфиденциальности, целостности и доступности наших систем и сервисов является важнейшим приоритетом нашей текущей деятельности.
Программа
В настоящее время Swissquote Group не проводит программу "bug bounty" и не разрешает активное исследование уязвимостей на своих веб-сайтах и сервисах. Тем не менее, если вы обнаружили уязвимость в нашей системе безопасности, мы будем крайне признательны вам за сотрудничество и ответственное раскрытие информации.
Отчёты следует отправлять на адрес электронной почты: vulnerability_disclosure@swissquote.ch с указанием всей информации, которую вы сочтёте необходимой для объяснения проблемы и того, как вы её обнаружили.
Типичный отчёт об уязвимости должен содержать следующую информацию:
- описание уязвимости и её потенциального воздействия;
- список затронутых хостов, сервисов или URL-адресов;
- необходимые шаги для воспроизведения уязвимости;
- как вы обнаружили уязвимость;
- ваши контактные данные.
Отправляйте только одну уязвимость в отчёте, если для оценки воздействия не требуется построить цепочку из выявленных уязвимостей. Мы подтвердим получение вашего отчёта, однако мы не будем предоставлять вам дополнительную информацию о результатах проведённого нами исследования.
Как отмечалось выше, не разрешается активное исследование уязвимостей (например, сканирование). Обращаем ваше внимание, что следующие действия строго запрещены и контролируются:
- любые действия, которые могут привести к нарушению работы наших сервисов (DoS-атаки, DDoS-атаки, спам и т.д.);
- любые действия, нарушающие целостность пользовательских данных;
- любые действия, нарушающие конфиденциальность пользовательских данных;
- использование автоматизированных средств поиска уязвимостей;
- любые мошеннические транзакции.
Swissquote Group оставляет за собой право возбуждать судебные иски против любых лиц, действующих таким образом, который может быть признан незаконным, противоправным или нарушающим вышеуказанные положения.
Данная программа применяется к:
- доменам, где в качестве регистранта указана компания Swissquote Group Holding SA, а именно к доменам с адресами "swissquote.ch" и "swissquote.com"; данное условие не распространяется на "library.swissquote.com";
- доменам, где в качестве регистранта указана компания YUH SA;
- мобильным приложениям, опубликованным Swissquote Mobile в Android Play Store;
- мобильным приложениям, опубликованным Swissquote в Apple Store.
Некоторые уязвимости не подпадают под действие данной программы. К ним относятся:
- устаревшие или уязвимые версии программного обеспечения, если невозможно продемонстрировать явную возможность их использования;
- ошибки, обусловленные наличием нетривиальных предварительных знаний, таких как сеансовый идентификатор;
- несоблюдение рекомендаций по настройке SSL/TLS;
- угрозы, связанные с социальной инженерией;
- физическая защита ИТ-инфраструктуры Swissquote Group.
Если вы не нашли нужную информацию или у вас остались вопросы, загляните в другие категории в разделе "Помощь".