RESPONSIBLE DISCLOSURE

Le informazioni in questa pagina sono destinate ai security research (ricercatori di sicurezza) che vogliono segnalare la vulnerabilità dei sistemi BinckBank.

Se sei un cliente Binck e hai domande su frodi, phishing o malware ti invitiamo a contattare il nostro Servizio Clienti.
In BinckBank, la sicurezza dei nostri sistemi e la protezione dei tuoi dati sono per noi una delle principali priorità. I nostri specialisti lavorano costantemente per ottimizzare i nostri sistemi e processi. Nonostante gli sforzi che impieghiamo i nostri sistemi potrebbero essere ancora vulnerabili.

Se sei un ricercatore di sicurezza e hai scoperto una vulnerabilità dei nostri sistemi, ti invitiamo a segnalarcelo in modo da poter migliorare insieme l’affidabilità dei nostri sistemi. Inviaci il tuo rapporto (in inglese) a responsible-disclosure@binck.it.
Il nostro team di sicurezza esaminerà i risultati e cercherà di rispondere entro due giorni lavorativi.

PGP key
Se vuoi criptare il tuo messaggio puoi usare la nostra PGP key:

-----BEGIN PGP PUBLIC KEY BLOCK-----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=w2vf
-----END PGP PUBLIC KEY BLOCK-----


Responsible Disclosure - Linea Guida
Esamineremo i rapporti inviati e faremo ogni sforzo per risolvere rapidamente il problema. Non intraprenderemo azioni legali nei tuoi confronti o ti sottoporremo ad indagine se rispetti le linee guida di seguito elencate, salvo la tua attività sia contraria alla legge o sia finalizzata ad arrecare un danno a Binck:

  • Fornire dettagli sulla vulnerabilità, i passaggi intrapresi per scoprire il problema, tutte le informazioni e le prove al fine di riprodurre il problema
  • Assicurare che durante l’indagine di vulnerabilità non causate alcun danno ai nostri sistemi
  • Non utilizzare social engineering per accedere ai nostri sistemi IT
  • Non lasciare mai che la tua indagine interrompa i servizi di BinckBank o altri servizi
  • Non pubblicare mai dati bancari o dei clienti, che potresti trovare durante la tua indagine
  • Non inserire una backdoor nel sistema, nemmeno allo scopo di mostrare la vulnerabilità, poichè l’inserimento di una backdoor causerà ancora più danni alla sicurezza dei nostri sistemi
  • Non modificare o non cancellare dati dai sistemi. Se la tua ricerca richiede di copiare dati dal sistema, non copiare più del necessario
  • Non apportare modifiche al sistema
  • Non forzare il sistema nemmeno per ottenere l’accesso
  • Non rendere pubbliche le informazioni da te rilevate
  • Dare a BinckBank il tempo ragionevole per risolvere il problema prima di rendere pubbliche le informazioni


Categorie di vulnerabilità che incoraggiamo

Siamo principalmente interessati a conoscere le seguenti categorie di vulnerabilità:

  • Vulnerabilità di esecuzione di codici in modalità remota
  • Vulnerabilità Cross Site scripting
  • Punti deboli della crittografia
  • Vulnerabilità SQL injection
  • Vulnerabilità che aggira i meccanismi di autenticazione
  • Vulnerabilità che danno accesso non autorizzato alle informazioni


Categorie di vulnerabilità fuori ambito

Le seguenti vulnerabilità non rientrano nel nostro programma di Responsible Disclosure:

  • Le nostre policy sulla presenza o meno di record SPF/ DKIM/ DMARC
  • Versione del server o di applicativi di terze parti senza Proof of Concept
  • Segnalazioni SSL/TLS non sicure e altre configurazioni errate
  • Vulnerabilità generiche legate a software o protocollo che non sono sotto il controllo di BinckBank
  • Attacchi Distributed Denial of Service, SPAM o tecnica di ingegneria sociale, rapporti di scansioni regolari come scanner Port o scanner di vulnerabilità


La tua privacy

Utilizzeremo i tuoi dati personali solo per entrare in contatto con te e per intraprendere azioni che riguardano quanto ci hai segnalato. Non distribuiremo le tue informazioni personali a terzi senza la tua autorizzazione a meno che non venga richiesto dalla legge, o se un’organizzazione esterna subentra nell’indagine sulla vulnerabilità. In tal caso, faremo in modo che l’autorità competete tratti le tue informazioni personali in modo confidenziale.

BinckBank N.V. - Succursale Italiana - Sede legale 20134 Milano Via G. Ventura, 5 - Cod. ABI 3423.1 - P.Iva 07546180964 - Codice Fiscale 93033680153 n. iscrR.I: Milano 1966215 - BinckBank è una Banca Olandese, parte del Gruppo Danese Saxo Bank - Aderente al Sistema di garanzia dei depositi dei Paesi Bassi e al Sistema di Compensazione e Garanzia degli investimenti dei Paesi Bassi - BinckBank N.V. è autorizzata e regolata dalla Banca Centrale Olandese (DNB) e dalla Autorità Olandese di Vigilanza dei Mercati Finanziari (AFM) - BinckBank N.V. Succursale Italiana è vigilata dalla Banca d’Italia e dalla Consob.