Programm zum verantwortungsvollen Umgang mit Daten

Wir nehmen die Sicherheit unserer Systeme, Produkte sowie der Daten unserer Mitarbeiter und Kunden ernst und legen Wert auf die Sicherheitsgemeinschaft. Wir begrüssen es, wenn die Sicherheit überprüft wird, und ermutigen entsprechend tätige Personen, sich mit uns in Verbindung zu setzen und potenzielle Schwachstellen zu melden, die in einem Produkt, System oder Vermögenswert von Worldline S.A., deren verbundenen Unternehmen und Tochtergesellschaften (hiernach gemeinsam als „Worldline“ bzw. „wir“, „uns“ oder „unser(e)“ bezeichnet) identifiziert wurden. Falls Sie glauben, eine potenzielle Sicherheitslücke gefunden zu haben, melden Sie diese bitte an unser Programm zum verantwortungsvollen Umgang mit Daten.

Bitte beachten Sie, dass Worldline kein öffentliches Bug-Bounty-Programm unterhält und wir folglich keine finanzielle oder sonstige Gegenleistung für die Meldung potentieller Probleme bieten.

Leitlinien des Programms zum verantwortungsvollen Umgang mit Daten

Wir erwarten von allen Personen, die sich mit potenziellen Sicherheitslücken befassen, dass sie sich wie folgt verhalten:

  • Bemühen Sie sich nach Kräften, während der Sicherheitsüberprüfungen Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Vernichtung von Daten zu vermeiden.
  • Beteiligen Sie sich nicht an Aktivitäten, die Worldline, unseren Kunden oder unseren Mitarbeitern potenziell oder tatsächlich Schaden zufügen könnten.
  • Veranlassen Sie keine betrügerischen Finanztransaktionen.
  • Speichern, teilen, gefährden oder vernichten Sie keine Worldline- oder Kundendaten. Wenn Sie auf personenbezogene Daten stossen, sollten Sie Ihre Aktivitäten sofort einstellen, die entsprechenden Daten aus Ihrem System löschen und Worldline umgehend kontaktieren. Dieser Schritt schützt alle potenziell gefährdeten Daten und Sie.
  • Führen Sie keine Aktivitäten durch, die (a) gegen europäische, bundesstaatliche oder staatliche Gesetze oder Vorschriften oder (b) gegen die Gesetze oder Vorschriften eines Landes verstossen, in dem (i) Daten, Vermögenswerte oder Systeme gespeichert oder befindlich sind, (ii) durch das der Datenverkehr geführt wird oder (iii) in dem Sie entsprechende Untersuchungen durchführen.
  • Recherchieren Sie nur innerhalb des unten angegebenen Umfangs.

o   Nutzen Sie die angegebenen Kommunikationskanäle, um uns Informationen zu Schwachstellen zu melden.

o   Behandeln Sie Informationen über von Ihnen entdeckte Schwachstellen vertraulich und teilen Sie diese nur mit Worldline.

Wenn Sie bei der Meldung von Problemen an uns diese Leitlinien befolgen, verpflichten wir uns wie folgt:

  • Wir werden keine rechtlichen Schritte in Zusammenhang mit Ihren Überprüfungsaktivitäten einleiten oder unterstützen.
  • Wir arbeiten mit Ihnen zusammen, um das Problem schnell zu verstehen und zu beheben (was eine erste Bestätigung Ihrer Meldung innerhalb von fünf Werktagen nach deren Eingabe beinhaltet).
  • Wir nehmen Ihren Beitrag in unsere „Hall of Fame der mit Sicherheitsfragen befassten Personen“ auf, wenn Sie das Problem als Erster melden und wir daraufhin eine Code- oder Konfigurationsänderung vornehmen.

Richtlinie zum verantwortungsvollen Umgang mit Daten

  • Bitte informieren Sie uns schnellstmöglich, wenn Sie ein potenzielles Sicherheitsproblem entdecken. Wir werden uns bemühen, das Problem rasch zu beheben.
  • Geben Sie uns dafür bitte angemessen Zeit, ehe Sie die Öffentlichkeit oder Dritte über das Problem in Kenntnis setzen.
  • Bitte bemühen Sie sich nach bestem Wissen und Gewissen, Datenschutzverletzungen, die Vernichtung von Daten und die Unterbrechung oder Beeinträchtigung unseres Dienstes zu vermeiden. Interagieren Sie nur mit Konten, die Ihnen gehören, oder deren Inhaber Ihnen ausdrücklich eine entsprechende Genehmigung erteilt hat.

Wer kann an dem Programm teilnehmen?

Teilnehmen kann jeder, der nicht für Worldline oder Partner von Worldline arbeitet, der ein eindeutiges, in den Geltungsbereich fallendes Sicherheitsproblem meldet und dieses nicht Dritten gegenüber offenlegt.

Geltungsbereich

  • Dazu gehört jede öffentlich zugängliche Website, die Worldline gehört bzw. von uns betrieben oder kontrolliert wird (einschliesslich der auf diesen Websites gehosteten Webanwendungen).
  • Ebenso fallen darunter alle für den Verbraucher zugänglichen Systeme der softwarebasierten PIN-Eingabe auf COTS, einschliesslich der PIN-CVM-Anwendung selbst sowie der Protokolle, die zur Kommunikation zwischen der PIN-CVM-Anwendung, dem SCRP und den Back-End-Überwachungssystemen verwendet werden.

Nicht Teil des Geltungsbereichs

Kunden-Websites oder Dienste, die von Drittanbietern und -diensten gehostet werden, sind vom Geltungsbereich ausgeschlossen.

Im Interesse der Sicherheit unserer Nutzer, unserer Mitarbeiter, des Internets insgesamt und Ihrer selbst fallen folgende Arten von Untersuchungen grundsätzlich nicht in den Geltungsbereich:

  • Ergebnisse physischer Überprüfungen (z. B. der Zugang zu Büros durch offene Türen, unerlaubtes Eindringen in Gebäude, indem Sie die Zugangsmöglichkeiten Dritter missbrauchen)
  • Erkenntnisse, die in erster Linie aus Social Engineering stammen (wie Phishing, Vishing)
  • Ergebnisse von Anwendungen oder Systemen, die nicht im Abschnitt „Geltungsbereich“ aufgeführt sind
  • UI- und UX-Bugs und Rechtschreibfehler
  •  Resource-Exhaustion-Angriffe
  • Denial-of-Service-Schwachstellen (DoS/DDoS) auf Netzwerkebene
  • Sehen Sie unter allen Umständen davon ab, Daten zu „exfiltrieren“ (herauszuschleusen).
  • Gefährden Sie nicht vorsätzlich die Privatsphäre oder Sicherheit von Worldline-Mitarbeitern oder Dritten.
  • Beeinträchtigen Sie nicht absichtlich die geistigen Eigentümer oder andere kommerzielle oder finanzielle Interessen von Worldline-Mitarbeitern oder -Einrichtungen oder von Dritten.

Alle Aktivitäten, die im Einklang mit dieser Richtlinie stehen, gelten als genehmigtes Verhalten und wir werden keine rechtlichen Schritte gegen Sie einleiten. Sollte ein Dritter in Zusammenhang mit Aktivitäten, die im Rahmen dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleiten, werden wir Massnahmen ergreifen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie stattfanden.

Vielen Dank, dass Sie dazu beitragen, Worldline und unsere Nutzer zu schützen!  Bitte senden Sie Ihren Bericht an das Worldline Programm zum verantwortungsvollen Umgang mit Daten auf HackerOne.