Πρόγραμμα Υπεύθυνης Γνωστοποίησης
Λαμβάνουμε σοβαρά υπόψη μας την ασφάλεια των συστημάτων, των προϊόντων μας, των πληροφοριών των εργαζομένων μας και των πελατών μας και εκτιμούμε την κοινότητα της ασφάλειας. Εκτιμούμε και ενθαρρύνουμε τους ερευνητές ασφαλείας να επικοινωνούν μαζί μας για να αναφέρουν πιθανά τρωτά σημεία που εντοπίζονται σε οποιοδήποτε προϊόν, σύστημα ή περιουσιακό στοιχείο που ανήκει στον όμιλο Worldline και τις θυγατρικές του εταιρείες. Εάν πιστεύετε ότι έχετε εντοπίσει μια πιθανή ευπάθεια ασφαλείας, παρακαλούμε να μας τη γνωστοποιήσετε σύμφωνα με το Πρόγραμμα Υπεύθυνης Γνωστοποίησης. Παρακαλούμε σημειώστε ότι η Worldline δεν λειτουργεί δημόσιο πρόγραμμα ανταμοιβής εξεύρεσης σφαλμάτων και δεν προσφέρουμε καμία επιβράβευση ή αποζημίωση ως αντάλλαγμα για τη γνωστοποίηση πιθανών προβλημάτων.
Κατευθυντήριες γραμμές του προγράμματος υπεύθυνης Γνωστοποίησης
Απαιτούμε από όλους τους ερευνητές:
- Να καταβάλλετε κάθε δυνατή προσπάθεια για την αποφυγή παραβιάσεων της ιδιωτικότητας, υποβάθμισης της εμπειρίας των χρηστών, διακοπής των συστημάτων παραγωγής και καταστροφής δεδομένων κατά τη διάρκεια των δοκιμών ασφαλείας,
- Να μην συμμετέχετε σε καμία δραστηριότητα που μπορεί δυνητικά ή πραγματικά να προκαλέσει βλάβη στην Worldline, στους πελάτες μας ή στους υπαλλήλους μας,
- Να μην εκκινείτε απατηλές οικονομικές συναλλαγές,
- Να μην αποθηκεύετε, μοιράζεστε, εκθέτετε ή καταστρέφετε δεδομένα της Worldline ή των πελατών της. Εάν συναντήσετε πληροφορίες μέσω των οποίων μπορεί να ταυτοποιηθεί συγκεκριμένο πρόσωπο («PII»), θα πρέπει να σταματήσετε αμέσως τη δραστηριότητά σας, να εκκαθαρίσετε τα σχετικά δεδομένα από το σύστημά σας και να επικοινωνήσετε αμέσως με την Worldline. Αυτό το βήμα προστατεύει τυχόν δυνητικά ευάλωτα δεδομένα και εσάς,
- Να μη συμμετέχετε σε καμία δραστηριότητα που παραβιάζει (α) τους ευρωπαϊκούς, ομοσπονδιακούς ή πολιτειακούς νόμους ή κανονισμούς ή (β) τους νόμους ή κανονισμούς οποιασδήποτε χώρας όπου (i) βρίσκονται δεδομένα, περιουσιακά στοιχεία ή συστήματα, (ii) δρομολογείται η κυκλοφορία δεδομένων ή (iii) ο ερευνητής διεξάγει ερευνητική δραστηριότητα,
- Να εκτελείτε έρευνες μόνο εντός του πεδίου εφαρμογής που ορίζεται κατωτέρω,
- να χρησιμοποιείτε τα καθορισμένα κανάλια επικοινωνίας για να μας αναφέρετε πληροφορίες σχετικά με ευπάθειες- και
- να διατηρείτε τις πληροφορίες σχετικά με τυχόν ευπάθειες που ανακαλύψατε εμπιστευτικές μεταξύ υμών και του ομίλου Worldline.
Εάν ακολουθήσετε αυτές τις οδηγίες όταν μας αναφέρετε ένα ζήτημα, δεσμευόμαστε:
- Να μην επιδιώξουμε ή υποστηρίξουμε οποιαδήποτε νομική ενέργεια που σχετίζεται με την έρευνά σας,
- Να συνεργαστούμε μαζί σας για να κατανοήσουμε και να επιλύσουμε το ζήτημα γρήγορα (συμπεριλαμβανομένης μιας αρχικής επιβεβαίωσης της αναφοράς σας εντός 5 εργάσιμων ημερών από την υποβολή),
- Να αναγνωρίσουμε τη συμβολή σας στο Hall of Fame των ερευνητών ασφαλείας, εάν είστε ο πρώτος που αναφέρει το ζήτημα και προβούμε σε αλλαγή κώδικα ή παραμέτρων με βάση το ζήτημα.
Πολιτική Γνωστοποίησης
- Ενημερώστε μας το συντομότερο δυνατό μόλις ανακαλύψετε ένα πιθανό πρόβλημα ασφαλείας και θα καταβάλουμε κάθε δυνατή προσπάθεια για την ταχεία επίλυση του προβλήματος,
- Παραχωρήστε μας εύλογο χρονικό διάστημα για την επίλυση του ζητήματος πριν από οποιαδήποτε γνωστοποίηση στο κοινό ή σε τρίτους,
- Καταβάλετε καλόπιστη προσπάθεια για να αποφύγετε παραβιάσεις της ιδιωτικότητας, καταστροφή δεδομένων και διακοπή ή υποβάθμιση της υπηρεσίας μας. Να αλληλεπιδράτε μόνο με λογαριασμούς που σας ανήκουν ή με τη ρητή άδεια του κατόχου του λογαριασμού.
Ποιοι μπορούν να συμμετάσχουν στο πρόγραμμα
Οποιοσδήποτε δεν εργάζεται για τον όμιλο Worldline ή τους συνεργάτες της Worldline, ο οποίος αναφέρει ένα μοναδικό θέμα ασφάλειας σε εμβέλεια και δεν το αποκαλύπτει σε τρίτους.
Πεδίο εφαρμογής
- Οποιοσδήποτε δημόσιος ιστότοπος τον οποίο κατέχει, λειτουργεί ή ελέγχει η Worldline και οι συνδεδεμένες με αυτήν εταιρείες, συμπεριλαμβανομένων των εφαρμογών ιστού που φιλοξενούνται σε αυτούς τους ιστότοπους. Όλα τα προσβάσιμα από τους καταναλωτές συστήματα εισαγωγής PIN βάσει Λογισμικού σε COTS, συμπεριλαμβανομένης της ίδιας της Εφαρμογής PIN CVM καθώς και των πρωτοκόλλων που χρησιμοποιούνται για την επικοινωνία μεταξύ της Εφαρμογής PIN CVM, του SCRP και των συστημάτων παρακολούθησης back–end.
Εκτός πεδίου εφαρμογής
Τυχόν ιστότοποι πελατών ή υπηρεσίες που φιλοξενούνται από τρίτους παρόχους και υπηρεσίες εξαιρούνται από το πεδίο εφαρμογής. Προς το συμφέρον της ασφάλειας των χρηστών μας, του προσωπικού μας, του Διαδικτύου στο σύνολό του και υμών ως ερευνητή ασφάλειας, οι ακόλουθοι τύποι δοκιμών εξαιρούνται από το πεδίο εφαρμογής:
- Ευρήματα από φυσικό έλεγχο, όπως είσοδο στο γραφείο (λ.χ. ανοιχτές πόρτες, παρακολούθηση)
- Ευρήματα που προέρχονται κυρίως από κοινωνική μηχανική (π.χ. phishing, vishing)
- Ευρήματα από εφαρμογές ή συστήματα που δεν απαριθμούνται στην ενότητα "Πεδίο εφαρμογής".
- Σφάλματα και ορθογραφικά λάθη στο UI και UX
- Επιθέσεις Εξάντλησης Πόρων
- Τρωτά σημεία άρνησης παροχής υπηρεσιών σε επίπεδο δικτύου (DoS/DDoS)
- Δεν θα πρέπει να διαρρέετε δεδομένα σε καμία περίπτωση
- Δεν θα πρέπει να θέτετε σκόπιμα σε κίνδυνο την ιδιωτικότητα ή την ασφάλεια του προσωπικού της Worldline ή οποιουδήποτε τρίτου μέρους
- Δεν θα πρέπει να θέτετε σκόπιμα σε κίνδυνο την πνευματική ιδιοκτησία ή άλλα εμπορικά ή οικονομικά συμφέροντα του προσωπικού ή των οντοτήτων της Worldline ή οποιουδήποτε τρίτου.
Κάθε δραστηριότητα που διεξάγεται με τρόπο που συνάδει με την παρούσα πολιτική θα θεωρείται εγκεκριμένη συμπεριφορά και δεν θα κινήσουμε νομικές ενέργειες εναντίον σας. Εάν κινηθεί νομική διαδικασία από τρίτο μέρος εναντίον σας σε σχέση με δραστηριότητες που διεξάγονται σύμφωνα με την παρούσα πολιτική, θα λάβουμε μέτρα για να γνωστοποιήσουμε ότι οι ενέργειές σας διεξήχθησαν σύμφωνα με την παρούσα πολιτική.
Σας ευχαριστούμε που βοηθάτε να κρατήσουμε την ομάδα Worldline και τους χρήστες μας ασφαλείς!