Retningslinjer for ansvarlig avsløring

Vennligst send funnene dine til: responsibledisclosure@nbim.no.

Sikkerhet er svært viktig for Norges Bank Investment Management. Vi verdsetter sikkerhetsforskere som handler i god tro og som kontakter oss med funn som kan hjelpe oss med å beskytte og sikre organisasjonen og eiendelene våre.

Hvis du vil bidra

Vennligst send funnene dine til responsibledisclosure@nbim.no og:

• Følg spillereglene – som forklart her, og hold deg innenfor gjeldende lover og relevante avtaler
• Vent med full avsløring til vi gir klarsignal
• Hold deg innenfor omfanget av denne retningslinjen
• Stopp når du har nok informasjon til å demonstrere dine funn på et konseptuelt nivå – ikke utnytt sårbarheten ved å laste ned unødvendige data, destruere data, forårsake forstyrrelser eller degradering av tjenestene våre

Når du rapporterer, vil vi

• Gi tilbakemelding innen rimelig tid
• Jobbe sammen med deg for å forstå og validere funnene
• Sørge for å rette opp validerte sårbarheter innen rimelig tid
• Anerkjenne ditt bidrag dersom du er den første som oppdager sårbarheten

Omfang

*nbim.no, *generasjonsfondet.no

Utenfor omfanget

• Norges Banks andre plattformer (*norges-bank.no)
• Norges Banks tredjeparter
• DoS eller andre former for ressursuttaksangrep
• Angrep på fysisk sikkerhet, sosial manipulering, nettfiske/spam

Belønning

Norges Bank Investment Management tilbyr for tiden ikke et bug-bounty-program eller noen monetær belønning for å rapportere sårbarheter. Vi vil imidlertid anerkjenne de som hjelper oss med å forbedre sikkerheten.

Security hall of fame

2021: Shivam Khambe - Same-site scripting
2021: Priti Navale - Clickjacking
2022 : Kokalagi Rushikesh - Exposed API key