Program zodpovedného zverejňovania

Bezpečnosť našich systémov, produktov, informácií našich zamestnancov a zákazníkov berieme vážne a ceníme si komunitu bezpečnosti. Oceňujeme a povzbudzujeme bezpečnostných výskumníkov, aby nás kontaktovali a nahlásili potenciálne zraniteľné miesta identifikované v akomkoľvek produkte, systéme alebo aktíve patriace spoločnosti Worldline SA, jej pridruženým spoločnostiam a dcérskym spoločnostiam (spolu označované ako „Worldline“ alebo my/náš/naše). Ak sa domnievate, že ste identifikovali potenciálnu bezpečnostnú chybu, odošlite ju do nášho Programu zodpovedného zverejňovania.

Upozorňujeme, že Worldline neprevádzkuje verejný program odmien za chyby a neponúkame žiadnu odmenu ani kompenzáciu výmenou za predloženie potenciálnych problémov.

Pravidlá programu zodpovedného zverejňovania

Požadujeme, aby všetci výskumníci:

  • Vynaložiť maximálne úsilie, aby ste sa vyhli narušeniu súkromia, zhoršeniu používateľskej skúsenosti, narušeniu produkčných systémov a zničeniu údajov počas testovania bezpečnosti;
  • Nezapájajte sa do žiadnej činnosti, ktorá môže potenciálne alebo skutočne spôsobiť škodu spoločnosti Worldline, našim zákazníkom alebo zamestnancom;
  • Neiniciujte žiadne podvodné finančné transakcie;
  • Neuchovávajte, nezdieľajte, nekompromitujte ani neničte údaje Worldline alebo zákazníkov. Ak sa stretnete s údajmi umožňujúcimi identifikáciu osôb (PII), mali by ste okamžite zastaviť svoju činnosť, vymazať súvisiace údaje zo systému a okamžite kontaktovať Worldline. Tento krok chráni všetky potenciálne zraniteľné údaje a vás;
  • Nezapájajte sa do žiadnej činnosti, ktorá porušuje (a) európske, federálne alebo štátne zákony alebo nariadenia alebo (b) zákony alebo nariadenia ktorejkoľvek krajiny, v ktorej (i) sa nachádzajú údaje, aktíva alebo systémy, (ii) je smerovaná dátová prevádzka alebo (iii) výskumný pracovník vykonáva výskumnú činnosť;
  • Vykonávajte výskum iba v rozsahu uvedenom nižšie;
    • Používajte identifikované komunikačné kanály na hlásenie informácií o zraniteľnosti; a
    • Medzi vami a Worldline uchovávajte v tajnosti informácie o akýchkoľvek zraniteľných miestach, ktoré ste objavili.

Ak sa pri nahlasovaní problému budete riadiť týmito pokynmi, zaväzujeme sa že:

  • Nebudeme viesť ani podporovať žiadne právne kroky súvisiace s vaším výskumom;
  • Budeme s vami spolupracovať, aby ste problém rýchlo pochopili a vyriešili (vrátane počiatočného potvrdenia vašej správy do 5 pracovných dní od odoslania);
  • Váš príspevok oceníme v našej Sieni slávy výskumníkov v oblasti bezpečnosti, ak ste ako prvý nahlásili problém a na jeho základe vykonáme zmenu kódu alebo konfigurácie.

Zásady zverejňovania

  • Dajte nám vedieť čo najskôr po objavení potenciálneho bezpečnostného problému a my vynaložíme maximálne úsilie na rýchle vyriešenie problému;
  • Poskytnite nám primeraný čas na vyriešenie problému pred akýmkoľvek zverejnením verejnosti alebo tretej strane;
  • V dobrej viere sa snažte vyhnúť porušovaniu súkromia, zničeniu údajov a prerušeniu alebo zhoršeniu kvality našej služby. Komunikujte iba s účtami, ktoré vlastníte, alebo s výslovným povolením majiteľa účtu.

Kto sa môže zúčastniť programu

Každý, kto nepracuje pre Worldline alebo partnerov Worldline, kto nahlási jedinečný bezpečnostný problém v danom rozsahu a neprezradí ho tretej strane.

Rozsah

  • Akékoľvek verejne prístupné webové stránky, ktoré vlastní, prevádzkuje alebo kontroluje spoločnosť Worldline, vrátane webových aplikácií hostených na týchto stránkach.
  • Všetky spotrebiteľsky prístupné systémy softvérového zadávania PIN na COTS, vrátane samotnej aplikácie PIN CVM, ako aj protokolov používaných na komunikáciu medzi aplikáciou PIN CVM, SCRP a koncovými monitorovacími systémami.

Mimo rozsahu

Akékoľvek zákaznícke stránky alebo služby hosťované poskytovateľmi a službami tretích strán sú vylúčené z rozsahu pôsobnosti.

V záujme bezpečnosti našich používateľov, personálu, internetu vo všeobecnosti a vás ako bezpečnostného výskumníka sú z rozsahu pôsobnosti vylúčené nasledujúce typy testov:

  • Zistenia z fyzického testovania, ako je napríklad prístup do kancelárie (napr. otvorené dvere, zadné dvere)
  • Zistenia odvodené predovšetkým zo sociálneho inžinierstva (napr. phishing, vishing)
  • Zistenia z aplikácií alebo systémov, ktoré nie sú uvedené v časti „Rozsah“
  • Chyby UI a UX a pravopisné chyby
  • Útoky na vyčerpanie zdrojov
  • Zraniteľnosť odmietnutia služby (DoS/DDoS) na úrovni siete
  • Za žiadnych okolností nevykonávate exfiltráciu údajov
  • Zámerne neohrozujete súkromie alebo bezpečnosť personálu Worldline alebo akýchkoľvek tretích strán
  • Zámerne neohrozujete duševné vlastníctvo alebo iné obchodné alebo finančné záujmy akéhokoľvek personálu alebo subjektov Worldline alebo akýchkoľvek tretích strán.

Akékoľvek činnosti vykonávané spôsobom, ktorý je v súlade s týmito zásadami, sa budú považovať za oprávnené správanie a nebudeme proti vám iniciovať právne kroky. Ak tretia strana iniciuje právne kroky proti vám v súvislosti s aktivitami vykonávanými podľa týchto zásad, podnikneme kroky, aby sme oznámili, že vaše kroky boli vykonané v súlade s týmito zásadami.

Ďakujeme, že pomáhate udržiavať Worldline a našich používateľov v bezpečí!  Odošlite svoju správu do programu zverejňovania informácií Worldline na HackerOne.