Program odgovornog objavljivanja informacija

Ozbiljno shvaćamo sigurnost naših sustava, proizvoda, podataka naših zaposlenika i klijenata te podržavamo zajednicu koja ulaže u sigurnost. Cijenimo i potičemo istraživače sigurnosti da nam se obrate kako bi prijavili potencijalne ranjivosti identificirane u bilo kojem proizvodu, sustavu ili imovini koja pripada društvu Worldline Financial Services (Europe) S.A., njegovim podružnicama i društvima kćeri (dalje u tekstu zajedno: 'Worldline' ili 'mi'/'nas'/'naše'). Ukoliko smatrate da ste identificirali potencijalnu sigurnosnu ranjivost, prijavite je našem Programu odgovornog objavljivanja informacija.

Imajte na umu da Worldline ne provodi javni program nagrađivanja pronalaska grešaka (eng. bugs) i ne nudimo nagradu ili kompenzaciju u zamjenu za prijavu potencijalnih problema.

Smjernice Programa odgovornog objavljivanja informacija
Zahtijevamo da svi istraživači:

  • Ulože sve napore kako bi se izbjeglo kršenje privatnosti, degradacija korisničkog iskustva, prekid proizvodnih sustava i uništavanje podataka tijekom sigurnosnog testiranja;
  • Ne sudjeluju ni u jednoj aktivnosti koja potencijalno ili stvarno može prouzročiti štetu Worldlineu, našim klijentima ili našim zaposlenicima;
  • Ne započinju nikakve lažne financijske transakcije;
  •  Ne pohranjuju, dijele, kompromitiraju ili uništavaju podatke Worldlinea ili korisničke podatke. Ukoliko naiđete na informacije za osobnu identifikaciju, trebali biste odmah zaustaviti svoju aktivnost, izbrisati povezane podatke iz svog sustava i odmah kontaktirati Worldline. Ovaj korak štiti sve potencijalno ranjive podatke i Vas;
  •   Ne sudjeluju ni u jednoj aktivnosti koja krši a) europske, savezne ili državne zakone ili propise ili (b) zakone ili propise bilo koje zemlje u kojoj se (i) nalaze podaci, imovina ili sustavi, (ii) usmjerava podatkovni promet (iii) istraživač provodi istraživačku aktivnost;
  •  Provode istraživanje samo unutar niže navedenog opsega;
  1. koriste identificirane komunikacijske kanale kako bi nam prijavili informacije o ranjivostima; i
  2.   čuvaju tajnima informacije o svim ranjivostima koje su otkrili.

Ukoliko slijedite ove smjernice kada nam prijavljujete problem, obvezujemo se:

  • Ne poduzimati niti podržavati nikakve sudske radnje povezane s Vašim istraživanjem;
  •  Surađivati s Vama s ciljem razumijevanja i bržeg rješavanja problema (uključujući početnu potvrdu Vaše prijave u roku od 5 radnih dana od podnošenja);
  • Prepoznati Vaš doprinos našem Security Researcher Hall of Fame, ukoliko ste prvi prijavili problem, a mi temeljem problema izvršimo promjenu koda ili konfiguracije.

Politika objavljivanja

  • Obavijestite nas što je prije moguće nakon otkrivanja potencijalnog sigurnosnog problema, a mi ćemo se potruditi u što kraćem roku riješiti problem;
  • Omogućite nam razumno vrijeme da riješimo problem prije bilo kakvog otkrivanja javnosti ili trećoj strani;
  • Nastojte u dobroj vjeri izbjeći kršenje privatnosti, uništavanje podataka i prekid ili degradaciju naše usluge. Komunicirajte samo s računima čiji ste vlasnik ili uz izričito dopuštenje vlasnika računa.

Tko može sudjelovati u programu
Svatko tko ne radi za Worldline ili partnere Worldlinea, a prijavi jedinstven sigurnosni problem koji se nalazi u opsegu kako je niže navedeno i ne otkrije ga trećoj strani.

Obuhvaćeno programom

  • Sve javne web stranice u vlasništvu, kojima upravlja ili koje kontrolira Worldline, uključujući web aplikacije koje se nalaze na tim stranicama.
  • Svi softverski sustavi dostupni potrošačima putem PIN-a(COTS), uključujući samu PIN CVM aplikaciju kao i protokole koji se koriste za komunikaciju između PIN CVM aplikacije, SCRP-a i pozadinskih sustava za nadzor.

Nije obuhvaćeno programom
Sve stranice klijenata ili usluge koje pružaju treće osobe isključeni su iz opsega ovog programa.

U interesu sigurnosti naših korisnika, našeg osoblja, interneta općenito i Vas kao istraživača sigurnosti, sljedeće vrste testova isključene su iz opsega:

  •  Nalazi fizičkog testiranja kao što je pristup uredu (npr. otvorena vrata, stražnja vrata)
  •  Nalazi proizašli prvenstveno iz društvenog inženjeringa (npr. phishing, vishing)
  • Nalazi iz aplikacija ili sustava koji nisu navedeni u odjeljku "Obuhvaćeno programom"
  •  UI i UX pogreške i pravopisne pogreške
  •  Napadi iscrpljivanjem resursa
  •  Uskraćenje usluge na razini mreže (tzv. DoS/DDoS napadi)
  • Neovlašteno preuzimanje podataka u bilo kojim okolnostima
  • Ne ugrožavate namjerno privatnost ili sigurnost osoblja Worldlinea ili bilo koje treće strane
  • Ne ugrožavate namjerno intelektualno vlasništvo ili druge komercijalne ili financijske interese bilo kojeg osoblja ili subjekata tvrtke Worldline ili bilo koje treće strane.

Sve aktivnosti provedene na način i u skladu s ovom politikom smatrat će se ovlaštenim ponašanjem i nećemo pokrenuti sudski postupak protiv Vas. U slučaju da treća strana pokrene sudski postupak protiv Vas u vezi s aktivnostima koje se provode prema ovoj politici, poduzet ćemo razumne korake kako bismo dali do znanja da su Vaše radnje provedene u skladu s ovom politikom.

Hvala vam što pomažete da Worldline i naši korisnici budu sigurni! Molimo podnesite svoju prijavu Worldline Programu za objavljivanje informacija na HackerOne.