Programme de divulgation responsable (PDR) de la Banque Scotia

La confiance que nous accorde notre clientèle est notre plus grand atout, et nous ne la tiendrons jamais pour acquise. Pour la conserver, nous investissons massivement dans les ressources humaines, les processus et la technologie afin de protéger les données de nos clients et clientes. Nous sommes également conscients du rôle important que joue la recherche en sécurité informatique pour aider les banques à se protéger des cybermenaces. Dans un esprit de collaboration pour assurer la protection du réseau de la Banque Scotia (systèmes et données), le Programme de divulgation responsable (PDR) de la Banque Scotia donne à la communauté de recherche en sécurité un moyen de communiquer directement avec elle lorsque des vulnérabilités rares mais possibles, sont décelées.

Signaler une vulnérabilité

Veuillez signaler par courriel à l’adresse SRDP@scotiabank.com toute vulnérabilité décelée. Nous vous demandons de fournir le plus de détails possible pour nous aider à faire nos vérifications. Par exemple :

• l’adresse URL complète;
• les étapes suivies et les outils utilisés;
• les objets possiblement touchés (p. ex., filtres ou champs de saisie);
• les preuves (saisies d’écran);
• votre évaluation du risque;
• la solution que vous proposez.

La Banque Scotia accusera réception de votre courriel par une réponse automatique. Nous communiquerons avec vous au besoin, après avoir pris connaissance de votre signalement. Nous reconnaissons la valeur de tous les signalements, mais nous pourrions être dans l’impossibilité de vous communiquer les mesures que nous prenons pour faire notre investigation ou pour apporter les correctifs.

Merci d’avoir communiqué avec nous.

Directives relatives aux signalements

Veuillez respecter les directives ci-dessous, qui visent à maintenir un esprit de collaboration.

1. Vous communiquez avec nous à titre personnel et avez au moins 18 ans ou l’autorisation de vos parents ou de votre tuteur pour communiquer avec nous.
2. Les recherches et les signalements doivent être faits de bonne foi, et non à des fins malveillantes ou d’exploitation.
3. Vous ne participerez à aucune activité qui pourrait nuire à la Banque Scotia, sa clientèle, son personnel, ses services ou ses biens.
4. Vous ne communiquerez, ne divulguerez ou ne compromettrez aucun renseignement permettant d'identifier une personne.
5. Vous ne ferez vos recherches sur la sécurité et la vulnérabilité qu’avec vos propres comptes ou des comptes pour lesquels le titulaire vous a donné son consentement explicite. Vous n’utiliserez pas le piratage psychologique ou la force brute pour obtenir des authentifiants confidentiels.
6. Vous convenez de respecter toutes les lois et tous les règlements en vigueur dans le cadre de vos activités de recherche sur la sécurité informatique et la participation au PDR de la Banque Scotia.
7. Vous nous laisserez un délai raisonnable pour faire notre investigation et réagir avant de contacter qui que ce soit à ce sujet.
8. Vous comprenez que la participation au programme et la soumission de signalements possibles ne vous confèrent pas de droits de propriété intellectuelle sur les systèmes de la Banque.
9. Vous comprenez que la participation à ce programme est volontaire et qu’elle ne vous donne pas droit à une rémunération, à une récompense ou à un emploi.

Portée

Tout site Web, service Web ou appli mobile de la Banque Scotia qui traite des données sensibles de l’utilisateur est visé par le PDR. Seules les vulnérabilités liées aux actifs de la Banque accessibles au public sont visées. Cela comprend les pages publiques et les portails auxquels les clients et clientes peuvent accéder au moyen de leurs identifiants, mais pas les pages, les fonctions, les outils ou les environnements qui ne sont pas destinés à l’usage du public ou de la clientèle et qui nécessitent les identifiants des membres du personnel permanent ou contractuel de la Banque Scotia ou des autorisations administratives, ou qui sont accessibles par l’entremise des réseaux gérés à l’interne.

Parmi les exemples d’actifs de la Banque accessibles au public, on compte tout le contenu des domaines suivants :

• banquescotia.com
• scotiaendirect.banquescotia.com
• scotiaconnect.scotiabank.com
• tangerine.ca
• appli des services bancaires mobiles de la Banque Scotia pour iOS ou Android

Remarques supplémentaires sur le programme

Délais : Voici les étapes qui suivront votre signalement :

• Vous recevrez un accusé de réception par courriel dans les 5 jours ouvrables suivant votre signalement.
• Notre équipe d’évaluation rendra une décision ou demandera plus de renseignements dans un délai de 10 à 15 jours ouvrables.
• Si la vulnérabilité est confirmée, sa résolution pourrait prendre jusqu’à 90 jours, selon sa complexité.
• Nous vous tiendrons au courant tout au long du processus et nous vous informerons de la résolution.

En participant à ce programme, vous confirmez que vous avez lu et compris les présentes directives et que vous les acceptez. Le non-respect de ces directives pourrait entraîner une poursuite ou votre disqualification du programme. 

La Banque Scotia n’offre aucune garantie, expresse ou implicite, ni aucune condition en ce qui a trait au programme et n’assume aucune responsabilité à l’égard des conséquences pouvant découler de votre participation. Vous comprenez que votre participation au programme est entièrement volontaire et à vos risques.