Programme de divulgation responsable de la Banque Scotia (PDR)

La confiance que nous ont accordée nos clients est notre plus grand atout, et nous ne la tiendrons jamais pour acquise. Pour la conserver, nous investissons massivement dans les ressources humaines, les processus et la technologie afin de protéger les données de nos clients. Nous sommes également conscients du rôle important que jouent les chercheurs en sécurité informatique pour aider les banques à se protéger des cybermenaces. Le Programme de divulgation responsable (PDR) de la Banque Scotia donne aux chercheurs un moyen de communiquer directement avec la Banque Scotia lorsqu’ils décèlent des vulnérabilités rares mais possibles, dans un esprit de collaboration pour assurer la protection du réseau de la Banque Scotia (systèmes et données).

Signaler une vulnérabilité

Veuillez signaler par courriel à l’adresse SRDP@scotiabank.com toute vulnérabilité décelée. Nous vous demandons de fournir le plus de détails possible pour nous aider à faire nos vérifications. Par exemple :

  • l’adresse URL complète;
  • les étapes suivies et les outils utilisés;
  • les objets possiblement touchés (p. ex., filtres ou champs de saisie);
  • les preuves (saisies d’écran);
  • votre évaluation du risque;
  • la solution que vous proposez.

La Banque Scotia accusera réception de votre courriel par une réponse automatique. Nous communiquerons avec vous au besoin, après avoir pris connaissance de votre signalement. Nous reconnaissons la valeur de tous les signalements, mais nous pourrions être dans l’impossibilité de vous communiquer les mesures que nous prenons pour faire notre investigation ou pour apporter les correctifs.

Merci d’avoir communiqué avec nous.

Consignes relatives aux signalements

Veuillez respecter les consignes ci-dessous, qui visent à maintenir un esprit de collaboration.

  1. Vous communiquez avec nous à titre personnel et avez au moins 18 ans ou l’autorisation de vos parents ou de votre tuteur pour communiquer avec nous.
  2. Vous ne participerez à aucune activité qui pourrait nuire à la Banque Scotia, ses clients, ses employés, ses services ou ses biens.
  3. Vous ne communiquerez, ne divulguerez ou ne compromettrez aucun renseignement permettant d'identifier une personne.
  4. Vous ne ferez vos recherches sur la sécurité et la vulnérabilité qu’avec vos propres comptes ou des comptes pour lesquels le titulaire vous a donné son consentement explicite. Vous n’utiliserez pas le piratage psychologique ou la force brute pour obtenir des authentifiants confidentiels.
  5. Vous convenez de respecter toutes les lois et tous les règlements en vigueur dans le cadre de vos activités de recherche sur la sécurité informatique et la participation au PDR de la Banque Scotia.
  6. Vous nous laisserez un délai raisonnable pour faire notre investigation et réagir avant de contacter qui que ce soit à ce sujet.

Portée

Tout site Web de la Banque Scotia, service Web ou appli mobile qui traite des données sensibles de l’utilisateur est visé par le PDR, notamment tout le contenu des domaines suivants :

  • Banquescotia.com
  • scotiaendirect.banquescotia.com
  • scotiaconnect.scotiabank.com
  • tangerine.ca
  • appli des Services bancaires mobiles de la Banque Scotia pour iOS ou Android