Program odgovornega razkritja

Varnost naših sistemov, produktov, podatkov naših zaposlenih in strank jemljemo resno in cenimo skupnost, ki skrbi za varnost. Cenimo in spodbujamo raziskovalce na področju zagotavljanja varnosti, da stopijo v stik z nami in poročajo o morebitnih ranljivostih, ugotovljenih v katerem od produktov, sistemov ali sredstev, ki pripadajo družbi Worldline S.A., njenim podružnicam in hčerinskim družbam (v nadaljnjem besedilu skupaj: »Worldline« ali »mi«/»nas«/»naš«). Če menite, da ste odkrili morebitno varnostno ranljivost, jo predložite našemu programu za odgovorno razkritje.

Upoštevajte, da Worldline ne zagotavlja in ne upravlja javnega programa za nagrajevanje odkrivanja in javljanja ranljivosti (oziroma tako t.i. »bug bounty programme")  in ne nudi nagrad ali plačila v zameno za poročanje o morebitnih težavah.

Smernice programa odgovornega razkritja

Naše zahteve za vse raziskovalce:

  • potrudite se, da se izognete kršitvam zasebnosti, poslabšanju uporabniške izkušnje, motnjam v produkcijskih sistemih in uničenju podatkov med varnostnim testiranjem;
  • ne sodelujte v dejavnostih, ki bi lahko potencialno ali dejansko povzročile škodo podjetju Worldline, našim strankam ali našim zaposlenim;
  • ne izvajajte goljufivih finančnih transakcij;
  • ne shranjujte, delite, ogrožajte ali uničujte podatkov Worldline ali strank. Če naletite na podatke, ki omogočajo osebno identifikacijo (PII), takoj ustavite svojo dejavnost, počistite podatke iz sistema in nemudoma kontaktirajte Worldline. Ta korak ščiti morebitne ranljive podatke in vas;
  • ne sodelujte v dejavnostih, ki kršijo (a) evropske, zvezne ali državne zakone ali predpise ali (b) zakone ali predpise katere koli države, kjer (i) se nahajajo podatki, sredstva ali sistemi, (ii) teče oz. kamor je usmerjen podatkovni promet ali (iii) raziskovalec opravlja raziskovalno dejavnost;
  • izvajajte raziskave samo v obsegu, ki je določen spodaj;
    o   uporabite prepoznane (uveljavljene) komunikacijske kanale, da nam sporočite informacije o ranljivosti; in
    o   informacije o morebitnih ranljivostih, ki ste jih odkrili, ohranite zaupne med vami in Worldline.

Če upoštevate te smernice, ko nam poročate o težavi, se zavezujemo, da:

  • ne bomo izvajali ali podpirali uveljavljanja pravnih sredstev, povezanih z vašim raziskovanjem;
  • bomo sodelovali z vami, da bi hitro razumeli in odpravili težavo (vključno z začetno potrditvijo vašega poročila v 5 delovnih dneh po predložitvi);
  • prepoznali vaš prispevek v naši Dvorani slave za varnostne raziskovalce (»Security Researcher Hall of Fame«), če ste prvi prijavili težavo in bomo na podlagi težave ustvarili kodo ali spremenili konfiguracijo.

Politika razkritja

  • obvestite nas čim prej, ko odkrijete morebitno varnostno težavo, in potrudili se bomo, da težavo hitro odpravimo;
  • zagotovite nam razumen čas za rešitev težave pred kakršnim koli razkritjem javnosti ali tretji osebi;
  • potrudite se v dobri veri, da se izognete kršitvam zasebnosti, uničenju podatkov in prekinitvi ali poslabšanju naše storitve. Delajte samo z računi, ki so v vaši lasti, ali z izrecnim dovoljenjem imetnika računa.

Kdo lahko sodeluje v programu

Vsakdo, ki ne dela za Worldline ali partnerje Worldline, ki prijavi edinstveno varnostno težavo, ki je »v obsegu« (kot je opredeljen spodaj) in je ne razkrije tretji osebi.

Obseg

  • Vsako javno dostopno spletno mesto, ki je v lasti, upravljanju ali pod nadzorom Worldline, vključno s spletnimi aplikacijami, ki gostujejo na teh mestih.
  • Vsi potrošnikom dostopni sistemi programskega vnosa PIN na COTS, vključno s samo aplikacijo PIN CVM ter protokoli, ki se uporabljajo za komunikacijo med aplikacijo PIN CVM, SCRP in sistemi za spremljanje v ozadju.

Izven obsega

Vsa spletna mesta ali storitve strank, ki jih gostijo tretji ponudniki, ter storitve, so izključeni iz obsega.

V interesu varnosti naših uporabnikov, osebja, interneta na splošno in vas kot varnostnega raziskovalca so naslednje vrste testov izključene iz obsega:

  • Ugotovitve na podlagi fizičnega testiranja, kot je dostop do pisarne (npr. odprta vrata, zadnja vrata)
  • Ugotovitve, ki v osnovi izhajajo iz socialnega inženiringa (npr. »phishing, »vishing«)
  • Ugotovitve iz aplikacij ali sistemov, ki niso navedeni v razdelku »Obseg«.
  • Napake uporabniškega vmesnika in UX ter črkovalne napake
  • Napadi zaradi izčrpanosti virov
  • Ranljivost zavrnitve storitve (DoS/DDoS) na ravni omrežja
  • Pod nobenim pogojem ne izločite nobenih podatkov
  • Namerno ne ogrožate zasebnosti ali varnosti osebja Worldline ali katere koli tretje osebe
  • Namerno ne ogrožate intelektualne lastnine ali drugih komercialnih ali finančnih interesov osebja ali enot Worldline ali tretjih oseb.

Vse dejavnosti, izvedene v skladu s tem Programom odgovornega razkritja, se bodo štele za dovoljeno ravnanje in proti vam ne bomo sprožili pravnih sredstev. Če tretja oseba proti vam vloži pravno sredstvo v zvezi z dejavnostmi, ki se izvajajo v skladu s to politiko, bomo ukrepali tako, da bo znano, da so bila vaša dejanja izvedena v skladu s tem Programom odgovornega razkritja.

Hvala, ker pomagate ohranjati varnost Worldline in naših uporabnikov!  Pošljite svoje poročilo programu za razkritje Worldline na HackerOne.