Vastuullisen tiedonantovelvollisuuden ohjelma

Suhtaudumme vakavasti järjestelmiemme, tuotteidemme sekä työntekijöidemme ja asiakkaidemme tietojen turvallisuuteen, ja arvostamme turvallisuusyhteisöä. Arvostamme ja kannustamme tietoturvatutkijoita ottamaan meihin yhteyttä ja ilmoittamaan mahdollisista haavoittuvuuksista, joita on havaittu missä tahansa Worldline S.A.:n, sen sidosyritysten ja tytäryhtiöiden (yhdessä jäljempänä "Worldline" tai "me"/"meitä"/"meidän") tuotteessa, järjestelmässä tai omaisuudessa. Jos uskot löytäneesi mahdollisen tietoturva-aukon, lähetä se vastuullisen tiedonantovelvollisuuden ohjelmaamme.

Huomaa, että Worldline ei ylläpidä julkista bugipalkkio-ohjelmaa, emmekä tarjoa palkkiota tai korvausta mahdollisten ongelmien ilmoittamisesta. 

Vastuullisen tiedonantovelvollisuuden ohjelman ohjeet
Edellytämme, että kaikki tutkijat:

  • pyrkivät kaikin tavoin välttämään yksityisyyden suojan loukkauksia, käyttäjäkokemuksen heikkenemistä, tuotantojärjestelmien häiriöitä ja tietojen tuhoamista tietoturvatestauksen aikana;
  • eivät ryhdy mihinkään toimintaan, joka voi mahdollisesti tai tosiasiallisesti aiheuttaa vahinkoa Worldlinelle, asiakkaillemme tai työntekijöillemme;
  • eivät aloita vilpillisiä rahoitustapahtumia;
  • eivät tallenna, jaa, vaaranna tai tuhoa Worldlinen tai asiakastietoja. Jos henkilökohtaisesti tunnistettavia tietoja (PII) havaitaan, sinun on välittömästi keskeytettävä toimintasi, poistettava asiaan liittyvät tiedot järjestelmästäsi ja otettava välittömästi yhteyttä Worldlineen. Tämä vaihe suojaa mahdollisia haavoittuvia tietoja ja sinua;
  • Älä ryhdy mihinkään toimintaan, joka rikkoo (a) eurooppalaisia, liittovaltion tai osavaltioiden lakeja tai määräyksiä tai (b) minkään sellaisen maan lakeja tai määräyksiä, jossa (i) tiedot, omaisuuserät tai järjestelmät sijaitsevat, (ii) tietoliikennettä ohjataan tai (iii) tutkija suorittaa tutkimustoimintaa;
  • Suorita tutkimusta vain alla esitetyn laajuuden puitteissa;
    •  Käytä tunnistettuja viestintäkanavia ilmoittaaksesi tietoja haavoittuvuuksista meille; ja
    •  Pidä löytämiäsi haavoittuvuuksia koskevat tiedot luottamuksellisina itsesi ja Worldlinen välillä.

Jos noudatat näitä ohjeita ilmoittaessasi meille ongelmasta, sitoudumme:

  • olemaan ryhtymättä tutkimukseesi liittyviin oikeustoimiin tai tukemaan niitä;
  • työskentelemään kanssasi ongelman ymmärtämiseksi ja ratkaisemiseksi nopeasti (mukaan lukien alustava vahvistus ilmoituksestasi 5 työpäivän kuluessa sen lähettämisestä);
  • tekemään koodi- tai konfiguraatiomuutoksen ongelman perusteella. 

Ilmoituskäytäntö

  • Ilmoita meille mahdollisimman pian mahdollisen tietoturvaongelman havaitsemisesta, niin pyrimme kaikin tavoin ratkaisemaan ongelman nopeasti.
  • Anna meille kohtuullinen aika ongelman ratkaisemiseksi, ennen kuin se julkistetaan yleisölle tai kolmannelle osapuolelle.
  • Pyri hyvässä uskossa välttämään yksityisyyden suojan loukkauksia, tietojen tuhoamista ja palvelumme keskeytymistä tai heikkenemistä. Ole vuorovaikutuksessa vain omistamiesi tilien kanssa tai tilinomistajan nimenomaisella luvalla.

Kuka voi osallistua ohjelmaan

Kuka tahansa, joka ei työskentele Worldlinelle tai Worldlinen yhteistyökumppaneille ja joka ilmoittaa ainutlaatuisesta turvallisuusongelmasta eikä paljasta sitä kolmannelle osapuolelle. 

Soveltamisala

  • Kaikki Worldlinen omistamat, ylläpitämät tai valvomat julkiset verkkosivustot, mukaan lukien näillä sivustoilla ylläpidetyt verkkosovellukset.
  • Kaikki kuluttajille tarkoitetut COTS-pohjaiset ohjelmistopohjaiset PIN-koodin syöttöjärjestelmät, mukaan lukien itse PIN CVM -sovellus sekä PIN CVM -sovelluksen, SCRP:n ja back-end-seurantajärjestelmien väliseen viestintään käytettävät protokollat. 

Soveltamisalan ulkopuolelle jäävät

Kolmannen osapuolen palveluntarjoajien ja palveluiden ylläpitämät asiakassivustot tai -palvelut eivät kuulu soveltamisalan piiriin.

Käyttäjiemme, henkilökuntamme, koko Internetin ja sinun tietoturvatutkijana turvallisuuden vuoksi seuraavat testityypit eivät kuulu soveltamisalan piiriin:

  • Fyysisen testauksen, kuten toimistoon pääsyn (esim. avoimet ovet, perässä kulkeminen), havainnot
  • Ensisijaisesti sosiaalisesta manipuloinnista saadut havainnot (esim. phishing, vishing)
  • Löydökset sovelluksista tai järjestelmistä, joita ei ole lueteltu "Soveltamisala"-osiossa
  • Käyttöliittymä- ja käyttöliittymävirheet sekä kirjoitusvirheet
  • Resurssien ehtymishyökkäykset
  • Verkkotason palvelunestohyökkäyksistä (DoS/DDoS) johtuvat haavoittuvuudet
  • Et missään olosuhteissa poista tietoja
  • Et tahallasi vaaranna Worldlinen henkilökunnan tai kolmansien osapuolten yksityisyyttä tai turvallisuutta
  • Et tahallasi vaaranna Worldlinen henkilökunnan tai yhteisöjen tai kolmansien osapuolien immateriaalista omaisuutta tai muita kaupallisia tai taloudellisia etuja.

Kaikki tämän politiikan mukaisesti toteutetut toimet katsotaan sallituksi toiminnaksi, emmekä ryhdy oikeustoimiin sinua vastaan. Jos kolmas osapuoli aloittaa oikeustoimet sinua vastaan tämän käytännön mukaisesti toteutettujen toimien yhteydessä, ryhdymme toimenpiteisiin ilmoittaaksemme, että toimintasi on toteutettu tämän käytännön mukaisesti.

Kiitos, että autat pitämään Worldlinen ja käyttäjämme turvassa!  Lähetä raporttisi Worldlinen tiedonantovelvollisuusohjelmaan HackerOnen kautta.