負責任揭露計畫
身為數位銀行業的領導者,瑞訊非常注重資訊安全。
維護系統和服務的機密性、完整性和可用性,是我們日常營運的重大要務。
本計畫
瑞訊集團目前並未建立漏洞回報獎勵計畫,也未授權主動研究網站和服務上的漏洞。儘管如此,如若發現安全漏洞,還須請您以負責的態度進行通報,我們誠摯感謝您的配合。
報告準則
報告請以電子郵件寄至:vulnerability_disclosure@swissquote.ch,隨信請提供所有您認為有必要說明的問題及發現的方式。
一般漏洞報告應包含以下資訊:
- 漏洞及其潛在影響的說明;
- 受影響的主機、服務或 URL 清單;
- 重現漏洞的必要步驟;
- 如何識別該漏洞;
- 您的聯絡資訊。
每份報告只能報告一項漏洞,除非是有必要衡量影響性的連鎖漏洞。確認收到您的報告之後,我們並不會提供進一步調查的結果。
嚴格禁止的活動
如上所述,並未授權主動研究漏洞(例如掃描)。另請注意,嚴格禁止以下活動並會進行嚴格監控:
- 任何可能導致我們服務中斷的活動(阻斷服務攻擊 (DoS)、分散式阻斷服務攻擊 (DDoS)、垃圾郵件等);
- 任何可能威脅使用者資料完整性的活動;
- 任何違反使用者資料機密性的活動;
- 使用自動化工具尋找漏洞;
- 任何詐騙交易。
瑞訊集團保留對任何視為非法、違法或違反上述規定者提起法律訴訟的權利。
範圍
本計畫適用於以下情況:
- 瑞訊集團控股公司 (Swissquote Group Holding SA) 列為登記組織的網域,具體為「swissquote.ch」和「swissquote.com」範圍內的網域;「library.swissquote.com」不包括在上述範圍內;
- YUH SA 列為登記組織的網域;
- Swissquote Mobile 在 Android Play 商店上發布的行動應用程式;
- Swissquote 在 Apple Store 上發布的行動應用程式。
某些漏洞視為超出本計畫範圍。其中包括:
- 如無法證明明確的可利用性,即為過時或易受攻擊的軟體版本;
- 需要不少先備知識(例如工作階段權杖)作為先決條件的錯誤;
- 缺少 SSL/TLS 配置的最佳做法;
- 社交工程相關問題;
- 瑞訊集團財產的實體安全。