Program for ansvarlig offentliggørelse

Vi tager sikkerheden af vores systemer, produkter, vores medarbejderes og kunders oplysninger alvorligt, og vi værdsætter sikkerhedsfællesskabet. Vi værdsætter og opfordrer sikkerhedsforskere til at kontakte os for at rapportere potentielle sårbarheder, der er identificeret i ethvert produkt, system eller aktiv, der tilhører Worldline S.A., dets tilknyttede selskaber og datterselskaber (samlet omtalt heri som 'Worldline' eller 'vi'/'os'/'vores'). Hvis du mener at have identificeret en potentiel sikkerhedssårbarhed, bedes du indsende den til vores Responsible Disclosure Programme.

Bemærk venligst, at Worldline ikke driver et offentligt bug bounty-program, og vi tilbyder ingen belønning eller kompensation til gengæld for indsendelse af potentielle problemer.

Retningslinjer for Responsible Disclosure Programme

Vi kræver, at alle forskere:

  • Gør alt for at undgå krænkelser af privatlivets fred, forringelse af brugeroplevelsen, afbrydelse af produktionssystemer og ødelæggelse af data under sikkerhedstest;
  • Ikke deltager i nogen aktivitet, der potentielt eller faktisk kan skade Worldline, vores kunder eller vores medarbejdere;
  • Ikke indleder svigagtige finansielle transaktioner;
  • Ikke gemmer, deler, kompromitterer eller ødelægger Worldline- eller kundedata. Hvis du støder på personligt identificerbare oplysninger (PII), skal du straks stoppe din aktivitet, slette relaterede data fra dit system og straks kontakte Worldline. Dette trin beskytter alle potentielt sårbare data og dig;
  • Deltag ikke i nogen aktivitet, der overtræder (a) europæiske, føderale eller statslige love eller regler eller (b) love eller regler i noget land, hvor (i) data, aktiver eller systemer befinder sig, (ii) datatrafik dirigeres eller (iii) forskeren udfører forskningsaktivitet;
  • Udfør kun forskning inden for det omfang, der er angivet nedenfor;
    •  Brug de identificerede kommunikationskanaler til at rapportere oplysninger om sårbarheder til os;og
    • Hold oplysninger om eventuelle sårbarheder, du har opdaget, fortrolige mellem dig selv og Worldline.

Hvis du følger disse retningslinjer, når du rapporterer et problem til os, forpligter vi os til:

  • Ikke at forfølge eller støtte nogen retssag i forbindelse med din forskning;
  • Samarbejde med dig for at forstå og løse problemet hurtigt (herunder en første bekræftelse af din rapport inden for 5 arbejdsdage efter indsendelse);
  • Foretage en kode- eller konfigurationsændring baseret på problemet. 

Offentliggørelsespolitik

  • Giv os besked så hurtigt som muligt, når du opdager et potentielt sikkerhedsproblem, og vi vil gøre alt for hurtigt at løse problemet;
  • Giv os en rimelig tid til at løse problemet, før det videregives til offentligheden eller en tredjepart;
  • Giv os en rimelig tid til at løse problemet, før det videregives til offentligheden eller en tredjepart;

Hvem kan deltage i programmet

Alle, der ikke arbejder for Worldline eller Worldlines partnere, og som rapporterer om et unikt sikkerhedsproblem og ikke videregiver det til en tredjepart. 

Omfang

  • Ethvert offentligt websted, der ejes, drives eller kontrolleres af Worldline, herunder webapplikationer, der hostes på disse websteder.
  • Alle forbrugertilgængelige systemer med softwarebaseret PIN-indtastning på COTS, herunder selve PIN CVM-applikationen samt de protokoller, der bruges til at kommunikere mellem PIN CVM-applikationen, SCRP og back-end overvågningssystemer. 

Uden for anvendelsesområdet

Alle kundesites eller tjenester, der hostes af tredjepartsudbydere og -tjenester, er udelukket fra anvendelsesområdet.

Af hensyn til sikkerheden for vores brugere, personale, internettet som helhed og dig som sikkerhedsforsker er følgende testtyper udelukket fra anvendelsesområdet:

  • Resultater fra fysisk testning såsom kontoradgang (f.eks. åbne døre, tailgating)
  • Resultater, der primært stammer fra social engineering (f.eks. phishing, vishing)
  • Fund fra applikationer eller systemer, der ikke er anført i afsnittet 'Omfang'
  • UI- og UX-fejl og stavefejl
  • Ressourceudtømningsangreb
  • Sårbarheder i forbindelse med Denial of Service (DoS/DDoS) på netværksniveau
  • Du exfiltrerer ikke data under nogen omstændigheder
  • Du kompromitterer ikke forsætligt privatlivets fred eller sikkerheden for Worldlines personale eller tredjeparter
  • Du kompromitterer ikke forsætligt den intellektuelle ejendomsret eller andre kommercielle eller økonomiske interesser for Worldlines personale eller enheder, eller nogen tredjeparter.

Alle aktiviteter, der udføres på en måde, der er i overensstemmelse med denne politik, vil blive betragtet som autoriseret adfærd, og vi vil ikke indlede retslige skridt mod dig. Hvis en tredjepart indleder en retssag mod dig i forbindelse med aktiviteter, der udføres i henhold til denne politik, vil vi tage skridt til at gøre det kendt, at dine handlinger blev udført i overensstemmelse med denne politik.

Tak, fordi du hjælper med at holde Worldline og vores brugere sikre!  Indsend venligst din rapport til Worldlines afsløringsprogram på HackerOne.