Program för ansvarsfullt offentliggörande

Säkerheten för våra system, produkter, våra anställdas och kunders information är mycket viktig för oss, och vi värdesätter säkerhetsgemenskapen. Vi uppskattar och uppmuntrar säkerhetsforskare att kontakta oss för att rapportera potentiella svagheter som identifierats i produkter, system eller tillgångar som tillhör Worldline S.A., dess närstående företag och dotterbolag (i det följande här ”Worldline” eller ”vi”/”oss”/”vår”). Om du tror att du har identifierat ett potentiellt säkerhetsproblem kan du rapportera in det till vårt program för ansvarsmedvetet offentliggörande.

Beakta att Worldline inte driver ett offentligt bug-bounty-program och vi tillhandahåller ingen belöning eller ersättning i utbyte mot rapportering av potentiella problem. 

Riktlinjer för program för ansvarsfullt offentliggörande

Vi kräver att alla forskare:

  • gör allt för att undvika kränkningar av den personliga integriteten, försämrad användarupplevelse, störningar i produktionssystem och förstörelse av data under säkerhetstestning;
  • inte deltar i någon aktivitet som potentiellt eller faktiskt kan skada Worldline, våra kunder eller våra anställda;
  • inte inleder några bedrägliga finansiella transaktioner;
  • inte lagrar, delar, äventyrar eller förstör Worldline eller kunduppgifter. Om personligt identifierbar information (PII) påträffas bör du omedelbart avbryta din aktivitet, rensa relaterade uppgifter från ditt system och omedelbart kontakta Worldline. Detta steg skyddar alla potentiellt känsliga uppgifter data och dig;
  • Delta inte i någon aktivitet som bryter mot (a) europeiska, federala eller statliga lagar eller förordningar eller (b) lagar eller förordningar i något land där (i) data, tillgångar eller system finns, (ii) datatrafik dirigeras eller (iii) forskaren bedriver forskningsaktivitet;
  •  Utför endast forskning inom det område som anges nedan;
  •  Använd de angivna kommunikationskanalerna för att rapportera känslig information till oss; och
  •  Håll information om eventuella svagheter du har upptäckt konfidentiell mellan dig själv och Worldline.

Om du följer dessa riktlinjer när du rapporterar ett problem till oss åtar vi oss att:

  • Inte vidta eller stödja några rättsliga åtgärder relaterade till din forskning;
  • Samarbeta med dig för att förstå och lösa problemet snabbt (inklusive en första bekräftelse av din rapport inom 5 arbetsdagar efter inlämning);
  • Göra en kod- eller konfigurationsändring baserat på problemet. 

Offentlighetspolicy

  • Meddela oss så snart som möjligt när du upptäcker ett potentiellt säkerhetsproblem och vi kommer att göra allt vi kan för att snabbt lösa problemet;
  • Ge oss rimlig tid att lösa problemet innan det offentliggörs för allmänheten eller tredje part;
  • Gör allt i god tro för att undvika integritetskränkningar, förstörelse av data och avbrott eller försämring av vår tjänst. Interagera endast med konton som du äger eller med uttryckligt tillstånd från kontoinnehavaren.  

Vem kan delta i programmet

Alla som inte arbetar för Worldline eller partner till Worldline som rapporterar ett unikt säkerhetsproblem i dess omfattning och inte avslöjar detta för en tredje part. 

Omfattning

  • Alla offentliga webbplatser som ägs, drivs eller kontrolleras av Worldline, inklusive webbapplikationer som finns på dessa webbplatser.
  • Alla för konsumenter åtkomliga system för programvarubaserad PIN-ingång på COTS, inklusive själva PIN CVM-applikationen samt de protokoll som används för att kommunicera mellan PIN CVM-applikationen, SCRP och back-end övervakningssystem. 

Utanför räckvidden

Alla kundwebbplatser eller tjänster som drivs av tredjepartsleverantörer och tjänster är undantagna från räckvidden.

För att skydda våra användare, personal, Internet i stort och dig som säkerhetsforskare är följande testtyper undantagna från räckvidden:

  • Resultat från fysiska tester såsom kontorstillträde (till exempel öppna dörrar, baklucka)
  • Resultat som främst härrör från social ingenjörskonst (till exempel nätfiske, vishing)
  • Resultat från applikationer eller system som inte anges i avsnittet ”Omfattning”
  • UI och UX buggar och stavfel
  • Överbelastningsattacker
  • Nätverksnivå nekande av tjänster (DoS/DDoS) svagheter
  • Du exfiltrerar inga omständigheter några uppgifter
  • Du äventyrar inte avsiktligt integriteten eller säkerheten för Worldlines personal eller tredje part
  • Du äventyrar inte avsiktligt immateriella rättigheter eller andra kommersiella eller ekonomiska intressen för någon Worldlines personal eller enheter, eller någon tredje part.

Alla aktiviteter som utförs på ett sätt som överensstämmer med denna policy kommer att betraktas som godkänt beteende och vi kommer inte att inleda rättsliga åtgärder mot dig. Om en tredje part inleder rättsliga åtgärder mot dig i samband med aktiviteter som utförs enligt denna policy, kommer vi att vidta åtgärder för att offentliggöra att dina handlingar utfördes i enlighet med denna policy.

Tack för att du bidrar till Worldlines och våra användares säkerhet!  Skicka in din rapport till Worldlines program för offentliggörande på HackerOne.