Responsible Disclosure Programme

Vi tar sikkerheten til systemene, produktene og informasjonen til våre ansatte og kunder på alvor, og vi verdsetter sikkerhetssamfunnet. Vi setter pris på og oppfordrer sikkerhetsforskere til å kontakte oss for å rapportere om potensielle sårbarheter som er identifisert i produkter, systemer eller eiendeler som tilhører Worldline S.A., dets tilknyttede selskaper og datterselskaper (heretter kalt "Worldline" eller "vi"/"oss"/"vår"). Hvis du mener å ha identifisert en potensiell sikkerhetssårbarhet, kan du sende den inn til vårt Responsible Disclosure Programme.

Vær oppmerksom på at Worldline ikke driver et offentlig bug bounty-program, og vi tilbyr ingen belønning eller kompensasjon for å sende inn potensielle problemer. 

Retningslinjer for Responsible Disclosure Programme
Vi krever at alle forskere:

  • gjør sitt ytterste for å unngå brudd på personvernet, forringelse av brukeropplevelsen, forstyrrelser i produksjonssystemer og ødeleggelse av data under sikkerhetstesting;
  • ikke deltar i aktiviteter som potensielt eller faktisk kan skade Worldline, våre kunder eller våre ansatte;
  • ikke iverksetter falske finansielle transaksjoner;
  • ikke lagrer, deler, kompromitterer eller ødelegger Worldline- eller kundedata. Hvis du støter på personlig identifiserbar informasjon (PII), må du umiddelbart stanse aktiviteten din, slette relaterte data fra systemet og kontakte Worldline. Dette trinnet beskytter alle potensielt sårbare data og deg;
  • Ikke delta i aktiviteter som bryter med (a) europeiske, føderale eller statlige lover eller forskrifter eller (b) lover eller forskrifter i et land der (i) data, eiendeler eller systemer befinner seg, (ii) datatrafikken rutes eller (iii) forskeren utfører forskningsaktivitet;
  • Utfør forskning kun innenfor det omfanget som er angitt nedenfor;
    • Bruk de identifiserte kommunikasjonskanalene til å rapportere informasjon om sårbarheter til oss; og
    • Informasjon om eventuelle sårbarheter du har oppdaget må du holde fortrolig mellom kun deg selv og Worldline.

Hvis du følger disse retningslinjene når du rapporterer et problem til oss, forplikter vi oss til å:

  • ikke forfølge eller støtte noen rettslige skritt knyttet til forskningen din;
  • samarbeide med deg for å forstå og løse problemet raskt (inkludert en første bekreftelse av rapporten din innen 5 virkedager etter innsending);
  • gjøre en kode- eller konfigurasjonsendring basert på problemet.

Retningslinjer for offentliggjøring

  • Gi oss beskjed så snart som mulig når du oppdager et potensielt sikkerhetsproblem, og vi vil gjøre vårt ytterste for å løse problemet raskt;
  • Gi oss rimelig tid til å løse problemet før det offentliggjøres for offentligheten eller en tredjepart;
  • Gjør en innsats i god tro for å unngå brudd på personvernet, ødeleggelse av data og avbrudd eller forringelse av tjenesten vår. Bruk kun kontoer som du eier eller som kontoinnehaveren har gitt eksplisitt tillatelse til.  

Hvem kan delta i programmet

Alle som ikke jobber for Worldline eller partnere av Worldline, og som rapporterer et unikt sikkerhetsproblem og ikke avslører det til en tredjepart. 

Omfang

  • Alle offentlige nettsteder som eies, drives eller kontrolleres av Worldline, inkludert webapplikasjoner som ligger på disse nettstedene.
  • Alle forbrukertilgjengelige systemer for programvarebasert PIN-oppføring på COTS, inkludert selve PIN CVM-applikasjonen samt protokollene som brukes til å kommunisere mellom PIN CVM-applikasjonen, SCRP og back-end overvåkningssystemer. 

Utenfor virkeområdet

Alle kundesider eller tjenester som hostes av tredjepartsleverandører og -tjenester, er ekskludert fra virkeområdet.

Av hensyn til sikkerheten til våre brukere, ansatte, Internett generelt og deg som sikkerhetsforsker, er følgende testtyper ekskludert fra virkeområdet:

  • Funn fra fysiske tester som kontortilgang (f.eks. åpne dører, tailgating)
  • Funn som hovedsakelig stammer fra sosial manipulering (f.eks. phishing, vishing)
  • Funn fra applikasjoner eller systemer som ikke er oppført i avsnittet "Omfang"
  • UI- og UX-feil og stavefeil
  • Ressursuttømmingsangrep
  • Sårbarheter på nettverksnivå (DoS/DDoS)
  • Du exfiltrerer ikke data under noen omstendigheter
  • Du kompromitterer ikke forsettlig personvernet eller sikkerheten til Worldline-personell eller tredjeparter
  • Du kompromitterer ikke forsettlig immaterielle rettigheter eller andre kommersielle eller økonomiske interesser til Worldline-personell eller -enheter, eller tredjeparter.

Alle aktiviteter som utføres på en måte som er i samsvar med disse retningslinjene, anses som godkjent atferd, og vi vil ikke iverksette rettslige skritt mot deg. Hvis en tredjepart innleder rettslige skritt mot deg i forbindelse med aktiviteter som utføres i henhold til disse retningslinjene, vil vi iverksette tiltak for å gjøre det kjent at handlingene dine ble utført i samsvar med disse retningslinjene.

Takk for at du bidrar til å holde Worldline og brukerne våre trygge!  Send inn rapporten din til Worldlines avsløringsprogram på HackerOne.