Program odpowiedzialnego ujawniania informacji
Poważnie traktujemy bezpieczeństwo naszych systemów, produktów, informacji naszych pracowników i klientów oraz cenimy społeczność zajmującą się bezpieczeństwem. Doceniamy i zachęcamy badaczy bezpieczeństwa do kontaktowania się z nami w celu zgłaszania potencjalnych luk w zabezpieczeniach wykrytych w jakimkolwiek produkcie, systemie lub zasobie należącym do firmy Worldline S.A., jej podmiotów stowarzyszonych i zależnych (zwanych łącznie „Worldline” lub „my”/„nas”/„nasze”). Jeśli uważasz, że zidentyfikowałeś(-aś) potencjalną lukę w zabezpieczeniach, prześlij ją do naszego Programu odpowiedzialnego ujawniania informacji.
Pamiętaj, że Worldline nie prowadzi publicznego programu nagród za znalezione błędy i nie oferujemy nagród ani rekompensat w zamian za zgłaszanie potencjalnych problemów.
Wytyczne programu odpowiedzialnego ujawniania informacji
Wymagamy, aby wszyscy badacze:
- Dokładali wszelkich starań, aby uniknąć naruszeń prywatności, pogorszenia doświadczenia użytkownika, zakłóceń w systemach produkcyjnych i zniszczenia danych podczas testów bezpieczeństwa;
- Nie angażowali się w żadne działania, które mogą potencjalnie lub faktycznie wyrządzić szkodę Worldline, naszym klientom lub naszym pracownikom;
- Nie inicjowali żadnych oszukańczych transakcji finansowych;
- Nie przechowywali, nie udostępniali, nie narażali na szwank ani nie niszczyli danych Worldline ani danych klientów. W przypadku napotkania informacji umożliwiających identyfikację osoby (PII) należy natychmiast przerwać działalność, usunąć powiązane dane ze swojego systemu i natychmiast skontaktować się z Worldline. Ten krok chroni wszelkie potencjalnie wrażliwe dane i Ciebie;
- Nie angażowali się w żadną działalność, która narusza (a) europejskie, federalne lub stanowe prawa lub przepisy lub (b) prawa lub przepisy jakiegokolwiek kraju, w którym (i) znajdują się dane, zasoby lub systemy, (ii) ruch danych jest kierowany lub (iii) badacz prowadzi działalność badawczą;
- Wykonywali badania wyłącznie w zakresie określonym poniżej;
- Korzystali ze zidentyfikowanych kanałów komunikacji, aby zgłaszać nam informacje o lukach w zabezpieczeniach; oraz
- Zachowywali informacje o wszelkich wykrytych lukach w zabezpieczeniach jako poufne między sobą a Worldline.
- Korzystali ze zidentyfikowanych kanałów komunikacji, aby zgłaszać nam informacje o lukach w zabezpieczeniach; oraz
Jeśli postępujesz zgodnie z tymi wytycznymi, zgłaszając nam problem, zobowiązujemy się do:
- Niepodejmowania ani niewspierania żadnych działań prawnych związanych z Twoimi badaniami;
- Współpracy z Tobą w celu szybkiego zrozumienia i rozwiązania problemu (w tym wstępne potwierdzenie zgłoszenia w ciągu 5 dni roboczych od jego przesłania);
- Docenienia Twojego wkładu w naszej galerii sław badaczy bezpieczeństwa, jeśli jako pierwszy zgłosisz problem, a my dokonamy zmiany kodu lub konfiguracji w oparciu o problem.
Zasady ujawniania informacji
- Daj nam znać jak najszybciej po wykryciu potencjalnego problemu z bezpieczeństwem, a my dołożymy wszelkich starań, aby szybko go rozwiązać;
- Zapewnij nam rozsądną ilość czasu na rozwiązanie problemu przed ujawnieniem go opinii publicznej lub stronie trzeciej;
- Staraj się w dobrej wierze unikać naruszeń prywatności, niszczenia danych oraz przerw lub pogorszenia jakości naszych usług. Wchodź w interakcje tylko z kontami, których jesteś właścicielem lub za wyraźną zgodą właściciela konta.
Kto może wziąć udział w programie
Każda osoba, która nie pracuje dla Worldline lub partnerów Worldline, która zgłasza unikatowy problem z bezpieczeństwem w zakresie i nie ujawnia go osobom trzecim.
Zakres
- Każda publiczna witryna będąca własnością, obsługiwana lub kontrolowana przez Worldline, w tym aplikacje internetowe hostowane na tych witrynach.
- Wszystkie dostępne dla konsumenta systemy Oprogramowania do wprowadzania kodu PIN w COTS, w tym sama Aplikacja PIN CVM, jak również protokoły używane do komunikacji między Aplikacją PIN CVM, SCRP i systemami monitorowania back-end.
Poza zakresem
Wszelkie witryny lub usługi klientów hostowane przez zewnętrznych dostawców i usługi są wyłączone z zakresu.
W trosce o bezpieczeństwo naszych użytkowników, personelu, całego Internetu i Ciebie jako badacza bezpieczeństwa, następujące typy testów są wyłączone z zakresu:
- Wyniki testów fizycznych, takich jak dostęp do biura (np. otwarte drzwi, czy tzw. tailgating)
- Ustalenia pochodzące głównie z inżynierii społecznej (np. phishing, vishing)
- Ustalenia z aplikacji lub systemów niewymienionych w sekcji „Zakres”.
- Błędy UI i UX oraz błędy ortograficzne
- Ataki polegające na wyczerpaniu zasobów
- Luki w zabezpieczeniach związane z odmową usługi (DoS/DDoS) na poziomie sieci
- W żadnym wypadku nie wolno przenosić żadnych danych
- Nie wolno narażać celowo prywatności ani bezpieczeństwa personelu Worldline ani osób trzecich
- Nie wolno narażać celowo własności intelektualnej ani innych interesów handlowych lub finansowych żadnego personelu lub podmiotów Worldline ani żadnych stron trzecich.
Wszelkie działania prowadzone w sposób zgodny z niniejszą polityką będą uważane za zachowanie dozwolone i nie będziemy wszczynać przeciwko Tobie działań prawnych. Jeśli strona trzecia podejmie kroki prawne przeciwko Tobie w związku z działaniami prowadzonymi w ramach tej polityki, podejmiemy kroki w celu poinformowania, że Twoje działania zostały przeprowadzone zgodnie z tą polityką.
Dziękujemy za pomoc w zapewnieniu bezpieczeństwa Worldline i naszym użytkownikom! Prześlij swoje zgłoszenie do programu ujawnień Worldline w HackerOne.