Sorumlu Bildirim Programı

Sistemlerimizin, ürünlerimizin, çalışanlarımızın ve müşterilerimizin bilgilerinin güvenliğini ciddiye alıyor ve güvenlik topluluğuna değer veriyoruz. Worldline S.A., iştirakleri ve yan kuruluşları (“WORLDLINE” veya birlikte “biz”/”bizim” olarak anılacaktır.)’na ait olan herhangi bir ürün, sistem veya varlıkta tanımlanan potansiyel güvenlik açıklarını bildirmek için bizimle iletişime geçen güvenlik araştırmacılarını takdir ve teşvik ediyoruz. Potansiyel bir güvenlik açığı tespit ettiğinizi düşünüyorsanız, lütfen bunu Sorumlu Bilgilendirme Programımıza uygun olarak gönderin.

Worldline'ın herkese açık bir hata ödül programı yürütmediğini; olası güvenlik açığı ve sorunları gönderme karşılığında herhangi bir ödül veya tazminat teklifinde bulunmadığımızı lütfen unutmayınız.

Sorumlu Bilgilendirme Programı Yönergeleri

Tüm araştırmacılardan şunları talep ediyoruz:

  • Güvenlik testleri sırasında gizlilik ihlallerini, kullanıcı deneyiminin bozulmasını, üretim sistemlerinin kesintiye uğramasını ve verilerin yok edilmesini önlemek için her türlü çabanın gösterilmesi;
  • Worldline'a, müşterilerimize veya çalışanlarımıza potansiyel olarak veya fiilen zarar verebilecek herhangi bir faaliyette bulunulmaması;
  • Hileli bir finansal işlem başlatılmaması;
  • Worldline veya müşteri verilerinin saklanmaması, paylaşılmaması, tehlikeye atılmaması veya imha edilmemesi. Kişisel Tanımlanabilir Bilgilerle (PII) karşılaşılırsa, faaliyetinizi derhal durdurmalı, ilgili verileri sisteminizden temizlemeli ve derhal Worldline ile iletişime geçmelisiniz. Bu adım, potansiyel olarak savunmasız verileri korur ve siz;
  • Aşağıdakileri ihlal eden herhangi bir faaliyette bulunmayınız.

(a) Avrupa, federal veya eyalet yasaları veya yönetmelikleri veya

(b) (i) veriler, varlıklar veya sistemlerin bulunduğu, (ii) veri trafiğinin yönlendirildiği veya (iii) araştırmacının araştırma faaliyetini yürüttüğü; herhangi bir ülkenin yasaları veya düzenlemeleri;

  • Yalnızca aşağıda belirtilen kapsamda araştırma yapınız;

Güvenlik açığı bilgilerini bize bildirmek için tanımlanan iletişim kanallarını kullanın; ve

Kendiniz ve Worldline grubu arasında keşfettiğiniz güvenlik açıklarıyla ilgili bilgileri gizli tutun.

Bize bir sorunu bildirirken aşağıdaki yönergeler izlenmelidir:

  • Araştırmanızla ilgili herhangi bir yasal işlem başlatmamak veya desteklememek;
  • Sorunu hızlı bir şekilde anlamak ve çözmek için birlikte çalışınız. (başvuru tarihinden itibaren 5 iş günü içinde verilecek raporunuzun ilk teyidi dahil);
  • Sorunu ilk bildiren sizseniz ve biz soruna göre bir kod veya yapılandırma değişikliği yaparsak Güvenlik Araştırmacısı Onur Listesi'ndeki katkınızı takdir ediniz.

Açıklama politikası

  • Olası bir güvenlik sorununu keşfettiğinizde mümkün olan en kısa sürede bize bildiriniz, sorunu hızla çözmek için her türlü çabayı gösterelim;
  • Kamuya veya üçüncü bir tarafa herhangi bir açıklama yapmadan önce sorunu çözmemiz için bize makul bir süre tanıyınız;
  • Gizlilik ihlallerini, verilerin yok edilmesini ve hizmetimizin kesintiye uğramasını veya bozulmasını önlemek için iyi niyetle çaba gösteriniz. Yalnızca sahip olduğunuz hesaplarla veya hesap sahibinin açık izniyle etkileşimde bulunun.
     

Programa kimler katılabilir? 

Worldline veya Worldline'ın ortakları için çalışmayan, kapsamda benzersiz bir güvenlik sorunu bildiren ve bunu üçüncü bir tarafa ifşa etmeyen herkes.

Kapsam

  • Bu sitelerde barındırılan web uygulamaları da dahil olmak üzere, Worldline ve bağlı şirketler tarafından sahip olunan, işletilen veya kontrol edilen, halka açık herhangi bir web sitesi.
  • PIN CVM Uygulamasının kendisi ve PIN CVM Uygulaması, SCRP ve arka uç izleme sistemleri arasında iletişim kurmak için kullanılan protokoller de dahil olmak üzere, COTS'de tüm tüketici tarafından erişilebilen Yazılım tabanlı PIN Girişi sistemleri.

Kapsam dışı

3. taraf sağlayıcılar ve hizmetler tarafından barındırılan tüm müşteri siteleri veya hizmetleri kapsam dışındadır.

Kullanıcılarımızın, personelimizin, genel olarak İnternet'in ve bir güvenlik araştırmacısı olarak sizlerin güvenliği açısından, aşağıdaki test türleri kapsam dışında tutulmuştur:

  • Ofis erişimi (ör. açık kapılar, bagaj kapısı) gibi fiziksel testlerden elde edilen bulgular
  • Öncelikle sosyal mühendislikten elde edilen bulgular (e-dolandırıcılık, kimlik avı vb.)
  • "Kapsam" bölümünde listelenmeyen uygulamalardan veya sistemlerden elde edilen bulgular
  • UI ve UX hataları ve yazım hataları
  • Kaynak Saldırıları
  • Ağ düzeyinde Hizmet Reddi (DoS/DDoS) güvenlik açıkları
  • Hiçbir koşulda herhangi bir veriyi sızdırmazsınız
  • Worldline personelinin veya herhangi bir üçüncü tarafın gizliliğini veya güvenliğini kasıtlı olarak tehlikeye atmazsınız.
  • Herhangi bir Worldline personelinin veya kuruluşunun veya herhangi bir üçüncü tarafın fikri mülkiyetini veya diğer ticari veya finansal çıkarlarını kasıtlı olarak tehlikeye atmazsınız.

Bu politikaya uygun şekilde gerçekleştirilen herhangi bir faaliyet, yetkilendirilmiş davranış olarak kabul edilecek ve size karşı yasal işlem başlatmayacağız. Bu politika kapsamında yürütülen faaliyetlerle ilgili olarak üçüncü bir kişi tarafından aleyhinize yasal işlem başlatılırsa, eylemlerinizin bu politikaya uygun olarak yürütüldüğünün bilinmesi için gerekli adımları atacağız.

Worldline’ı ve kullanıcılarımızı güvende tutmaya yardımcı olduğunuz için teşekkür ederiz!

Sorumlu Bildirim kapsamındaki raporunuzu Hacker One'a yükleyebilirsiniz.