Program odpowiedzialnego ujawniania informacji

Poważnie traktujemy bezpieczeństwo naszych systemów, produktów, informacji naszych pracowników i klientów oraz cenimy społeczność zajmującą się bezpieczeństwem. Doceniamy i zachęcamy badaczy bezpieczeństwa do kontaktowania się z nami w celu zgłaszania potencjalnych luk w zabezpieczeniach wykrytych w jakimkolwiek produkcie, systemie lub zasobie należącym do firmy Worldline S.A., jej podmiotów stowarzyszonych i zależnych (zwanych łącznie „Worldline” lub „my”/„nas”/„nasze”). Jeśli uważasz, że zidentyfikowałeś(-aś) potencjalną lukę w zabezpieczeniach, prześlij ją do naszego Programu odpowiedzialnego ujawniania informacji.

Pamiętaj, że Worldline nie prowadzi publicznego programu nagród za znalezione błędy i nie oferujemy nagród ani rekompensat w zamian za zgłaszanie potencjalnych problemów.

Wytyczne programu odpowiedzialnego ujawniania informacji

Wymagamy, aby wszyscy badacze:

  • Dokładali wszelkich starań, aby uniknąć naruszeń prywatności, pogorszenia doświadczenia użytkownika, zakłóceń w systemach produkcyjnych i zniszczenia danych podczas testów bezpieczeństwa;
  • Nie angażowali się w żadne działania, które mogą potencjalnie lub faktycznie wyrządzić szkodę Worldline, naszym klientom lub naszym pracownikom;
  • Nie inicjowali żadnych oszukańczych transakcji finansowych;
  • Nie przechowywali, nie udostępniali, nie narażali na szwank ani nie niszczyli danych Worldline ani danych klientów. W przypadku napotkania informacji umożliwiających identyfikację osoby (PII) należy natychmiast przerwać działalność, usunąć powiązane dane ze swojego systemu i natychmiast skontaktować się z Worldline. Ten krok chroni wszelkie potencjalnie wrażliwe dane i Ciebie;
  • Nie angażowali się w żadną działalność, która narusza (a) europejskie, federalne lub stanowe prawa lub przepisy lub (b) prawa lub przepisy jakiegokolwiek kraju, w którym (i) znajdują się dane, zasoby lub systemy, (ii) ruch danych jest kierowany lub (iii) badacz prowadzi działalność badawczą;
  • Wykonywali badania wyłącznie w zakresie określonym poniżej;
    • Korzystali ze zidentyfikowanych kanałów komunikacji, aby zgłaszać nam informacje o lukach w zabezpieczeniach; oraz
    • Zachowywali informacje o wszelkich wykrytych lukach w zabezpieczeniach jako poufne między sobą a Worldline.

 

Jeśli postępujesz zgodnie z tymi wytycznymi, zgłaszając nam problem, zobowiązujemy się do:

  • Niepodejmowania ani niewspierania żadnych działań prawnych związanych z Twoimi badaniami;
  • Współpracy z Tobą w celu szybkiego zrozumienia i rozwiązania problemu (w tym wstępne potwierdzenie zgłoszenia w ciągu 5 dni roboczych od jego przesłania);
  • Docenienia Twojego wkładu w naszej galerii sław badaczy bezpieczeństwa, jeśli jako pierwszy zgłosisz problem, a my dokonamy zmiany kodu lub konfiguracji w oparciu o problem.

Zasady ujawniania informacji

  • Daj nam znać jak najszybciej po wykryciu potencjalnego problemu z bezpieczeństwem, a my dołożymy wszelkich starań, aby szybko go rozwiązać;
  • Zapewnij nam rozsądną ilość czasu na rozwiązanie problemu przed ujawnieniem go opinii publicznej lub stronie trzeciej;
  • Staraj się w dobrej wierze unikać naruszeń prywatności, niszczenia danych oraz przerw lub pogorszenia jakości naszych usług. Wchodź w interakcje tylko z kontami, których jesteś właścicielem lub za wyraźną zgodą właściciela konta.

Kto może wziąć udział w programie

Każda osoba, która nie pracuje dla Worldline lub partnerów Worldline, która zgłasza unikatowy problem z bezpieczeństwem w zakresie i nie ujawnia go osobom trzecim.

Zakres

  • Każda publiczna witryna będąca własnością, obsługiwana lub kontrolowana przez Worldline, w tym aplikacje internetowe hostowane na tych witrynach.
  • Wszystkie dostępne dla konsumenta systemy Oprogramowania do wprowadzania kodu PIN w COTS, w tym sama Aplikacja PIN CVM, jak również protokoły używane do komunikacji między Aplikacją PIN CVM, SCRP i systemami monitorowania back-end.

Poza zakresem

Wszelkie witryny lub usługi klientów hostowane przez zewnętrznych dostawców i usługi są wyłączone z zakresu.

W trosce o bezpieczeństwo naszych użytkowników, personelu, całego Internetu i Ciebie jako badacza bezpieczeństwa, następujące typy testów są wyłączone z zakresu:

  • Wyniki testów fizycznych, takich jak dostęp do biura (np. otwarte drzwi, czy tzw. tailgating)
  • Ustalenia pochodzące głównie z inżynierii społecznej (np. phishing, vishing)
  • Ustalenia z aplikacji lub systemów niewymienionych w sekcji „Zakres”.
  • Błędy UI i UX oraz błędy ortograficzne
  • Ataki polegające na wyczerpaniu zasobów
  • Luki w zabezpieczeniach związane z odmową usługi (DoS/DDoS) na poziomie sieci
  • W żadnym wypadku nie wolno przenosić żadnych danych
  • Nie wolno narażać celowo prywatności ani bezpieczeństwa personelu Worldline ani osób trzecich
  • Nie wolno narażać celowo własności intelektualnej ani innych interesów handlowych lub finansowych żadnego personelu lub podmiotów Worldline ani żadnych stron trzecich.

Wszelkie działania prowadzone w sposób zgodny z niniejszą polityką będą uważane za zachowanie dozwolone i nie będziemy wszczynać przeciwko Tobie działań prawnych. Jeśli strona trzecia podejmie kroki prawne przeciwko Tobie w związku z działaniami prowadzonymi w ramach tej polityki, podejmiemy kroki w celu poinformowania, że Twoje działania zostały przeprowadzone zgodnie z tą polityką.

Dziękujemy za pomoc w zapewnieniu bezpieczeństwa Worldline i naszym użytkownikom!  Prześlij swoje zgłoszenie do programu ujawnień Worldline w HackerOne.