Programa de divulgación responsable
Nos tomamos en serio la seguridad de nuestros sistemas, productos, la información de nuestros empleados y clientes, y valoramos la comunidad de seguridad. Apreciamos y alentamos a los investigadores de seguridad a que nos contacten para informar posibles vulnerabilidades identificadas en cualquier producto, sistema o activo que pertenezca a Worldline S.A., sus afiliadas y subsidiarias (denominadas en conjunto como 'Worldline' o 'nosotros'). Si cree que ha identificado una posible vulnerabilidad de seguridad, por favor envíela a nuestro Programa de divulgación responsable.
Tenga en cuenta que Worldline no opera un programa de recompensas públicas por errores y no hacemos ninguna oferta de recompensa o compensación a cambio de la presentación de posibles problemas.
Directrices del programa de divulgación responsable
Requerimos que todos los investigadores:
- Haga todo lo posible para evitar violaciones de privacidad, degradación de la experiencia del usuario, interrupción de sistemas de producción y destrucción de datos durante las pruebas de seguridad;
- No se involucre en ninguna actividad que pueda potencialmente o realmente causar daño a Worldline, nuestros clientes o empleados;
- No inicie ninguna transacción financiera fraudulenta;
- No almacene, comparta, comprometa o destruya datos de Worldline o de clientes. Si se encuentra información de identificación personal (PII), debe detener inmediatamente su actividad, eliminar los datos relacionados de su sistema y ponerse en contacto de inmediato con Worldline. Este paso protege cualquier dato potencialmente vulnerable y a usted mismo;
- No se involucre en ninguna actividad que viole (a) las leyes o regulaciones europeas, federales o estatales o (b) las leyes o regulaciones de cualquier país donde (i) residen los datos, activos o sistemas, (ii) se enruta el tráfico de datos o (iii) el investigador está llevando a cabo la actividad de investigación;
- Realice la investigación solo dentro del alcance establecido a continuación;
- Utilice los canales de comunicación identificados para informarnos sobre la información de vulnerabilidades; y
- Mantenga la información sobre cualquier vulnerabilidad que haya descubierto confidencial entre usted y Worldline.
Si sigue estas pautas al informarnos de un problema, nos comprometemos a:
- No emprender ni respaldar ninguna acción legal relacionada con su investigación;
- Trabajar con usted para comprender y resolver el problema rápidamente (incluida una confirmación inicial de su informe dentro de los 5 días hábiles posteriores a su presentación);
- Reconocer su contribución en nuestro Salón de la Fama de Investigadores de Seguridad, si es el primero en informar del problema y hacemos un cambio de código o configuración basado en el problema.
Política de divulgación
- Informenos tan pronto como sea posible tras el descubrimiento de un posible problema de seguridad, y haremos todo lo posible para resolver el problema rápidamente;
- Proporciónenos un tiempo razonable para resolver el problema antes de cualquier divulgación al público o a un tercero;
- Realice un esfuerzo de buena fe para evitar violaciones de privacidad, destrucción de datos e interrupción o degradación de nuestro servicio. Solo interactúe con cuentas que posea o con el permiso explícito del titular de la cuenta.
Quiénes pueden participar en el programa
Cualquier persona que no trabaje para Worldline ni para sus socios y que informe sobre un problema de seguridad único dentro del alcance y no lo divulgue a terceros.
Ámbito de aplicación
- Cualquier sitio web público propiedad de Worldline, gestionado o controlado por Worldline, incluidas las aplicaciones web alojadas en dichos sitios.
- Todos los sistemas de introducción de PIN basados en software COTS accesibles para el consumidor, incluida la propia aplicación PIN CVM, así como los protocolos utilizados para comunicarse entre la aplicación PIN CVM, SCRP y los sistemas de supervisión back-end.
Fuera del ámbito de aplicación
Quedan excluidos del ámbito de aplicación los sitios o servicios de clientes alojados por terceros proveedores y servicios.
En interés de la seguridad de nuestros usuarios, del personal, de Internet en general y de usted como investigador de seguridad, los siguientes tipos de pruebas quedan excluidos del ámbito de aplicación:
- Hallazgos derivados de pruebas físicas como el acceso a oficinas (por ejemplo, puertas abiertas, tailgating)
- Hallazgos derivados principalmente de la ingeniería social (por ejemplo, phishing, vishing)
- Resultados de aplicaciones o sistemas no incluidos en la sección "Ámbito".
- Errores de UI y UX y faltas de ortografía.
- Ataques por agotamiento de recursos.
- Vulnerabilidades de denegación de servicio a nivel de red (DoS/DDoS).
- No exfiltre datos bajo ninguna circunstancia.
- No comprometa intencionadamente la privacidad o seguridad del personal de Worldline o de terceros.
- No comprometa intencionadamente la propiedad intelectual u otros intereses comerciales o financieros del personal o entidades de Worldline o de terceros.
Cualquier actividad realizada de forma coherente con esta política se considerará conducta autorizada y no iniciaremos acciones legales contra usted. Si un tercero inicia acciones legales contra usted en relación con actividades realizadas conforme a esta política, tomaremos medidas para que se sepa que sus acciones se llevaron a cabo de conformidad con esta política.
Gracias por contribuir a la seguridad de Worldline y de nuestros usuarios. Envíe su informe al programa de divulgación de Worldline en HackerOne.