RESPONSIBLE DISCLOSURE PROGRAM
Поддержание конфиденциальности, целостности и доступности наших систем и сервисов является важнейшим приоритетом нашей текущей деятельности.
Программа
В настоящее время Swissquote Group не проводит программу "bug bounty" и не разрешает активное исследование уязвимостей на своих веб-сайтах и сервисах. Тем не менее, если вы обнаружили уязвимость в нашей системе безопасности, мы будем крайне признательны вам за сотрудничество и ответственное раскрытие информации.
Отчёты следует отправлять на адрес электронной почты: vulnerability_disclosure@swissquote.ch с указанием всей информации, которую вы сочтёте необходимой для объяснения проблемы и того, как вы её обнаружили.
Типичный отчёт об уязвимости должен содержать следующую информацию:
- описание уязвимости и её потенциального воздействия;
- список затронутых хостов, сервисов или URL-адресов;
- необходимые шаги для воспроизведения уязвимости;
- как вы обнаружили уязвимость;
- ваши контактные данные.
Отправляйте только одну уязвимость в отчёте, если для оценки воздействия не требуется построить цепочку из выявленных уязвимостей. Мы подтвердим получение вашего отчёта, однако мы не будем предоставлять вам дополнительную информацию о результатах проведённого нами исследования.
As stated above, active research of vulnerabilities (e.g., scans) is not authorised. Also note that the following activities are strictly forbidden and monitored:
- any activity that could lead to the disruption of our services (DoS, DDoS, spam, etc...);
- any activity that would threaten the integrity of user data;
- any activity that would breach the confidentiality of user data;
- usage of automated tools to find vulnerabilities;
- any fraudulent transaction.
Swissquote Group reserves the right to bring any legal action against any person acting in a manner considered as illegal, illicit or as infringing the above.
This program applies to the following:
- domains where Swissquote Group Holding SA is listed as the Registrant Organisation, more specifically domains under "swissquote.ch" and "swissquote.com"; "library.swissquote.com" is excluded from the above;
- domains where YUH SA is listed as the Registrant Organisation;
- mobile applications published by Swissquote Mobile on the Android Play Store;
- mobile applications published by Swissquote on the Apple Store.
Certain vulnerabilities are considered out of scope for this program. These include:
- outdated or vulnerable software versions if no clear exploitability can be demonstrated;
- bugs requiring non-trivial prior knowledge, such as a session token, as prerequisite;
- missing best practices in SSL/TLS configuration;
- social engineering related issues;
- physical security of Swissquote Group property.
If you didn’t find the information you were looking for or you still have questions, check out other Help categories.