Program odgovornog objavljivanja informacija
Ozbiljno shvaćamo sigurnost naših sustava, proizvoda, podataka naših zaposlenika i klijenata te podržavamo zajednicu koja ulaže u sigurnost. Cijenimo i potičemo istraživače sigurnosti da nam se obrate kako bi prijavili potencijalne ranjivosti identificirane u bilo kojem proizvodu, sustavu ili imovini koja pripada društvu Worldline Financial Services (Europe) S.A., njegovim podružnicama i društvima kćeri (dalje u tekstu zajedno: 'Worldline' ili 'mi'/'nas'/'naše'). Ukoliko smatrate da ste identificirali potencijalnu sigurnosnu ranjivost, prijavite je našem Programu odgovornog objavljivanja informacija.
Imajte na umu da Worldline ne provodi javni program nagrađivanja pronalaska grešaka (eng. bugs) i ne nudimo nagradu ili kompenzaciju u zamjenu za prijavu potencijalnih problema.
Smjernice Programa odgovornog objavljivanja informacija
Zahtijevamo da svi istraživači:
- Ulože sve napore kako bi se izbjeglo kršenje privatnosti, degradacija korisničkog iskustva, prekid proizvodnih sustava i uništavanje podataka tijekom sigurnosnog testiranja;
- Ne sudjeluju ni u jednoj aktivnosti koja potencijalno ili stvarno može prouzročiti štetu Worldlineu, našim klijentima ili našim zaposlenicima;
- Ne započinju nikakve lažne financijske transakcije;
- Ne pohranjuju, dijele, kompromitiraju ili uništavaju podatke Worldlinea ili korisničke podatke. Ukoliko naiđete na informacije za osobnu identifikaciju, trebali biste odmah zaustaviti svoju aktivnost, izbrisati povezane podatke iz svog sustava i odmah kontaktirati Worldline. Ovaj korak štiti sve potencijalno ranjive podatke i Vas;
- Ne sudjeluju ni u jednoj aktivnosti koja krši a) europske, savezne ili državne zakone ili propise ili (b) zakone ili propise bilo koje zemlje u kojoj se (i) nalaze podaci, imovina ili sustavi, (ii) usmjerava podatkovni promet (iii) istraživač provodi istraživačku aktivnost;
- Provode istraživanje samo unutar niže navedenog opsega;
- koriste identificirane komunikacijske kanale kako bi nam prijavili informacije o ranjivostima; i
- čuvaju tajnima informacije o svim ranjivostima koje su otkrili.
Ukoliko slijedite ove smjernice kada nam prijavljujete problem, obvezujemo se:
- Ne poduzimati niti podržavati nikakve sudske radnje povezane s Vašim istraživanjem;
- Surađivati s Vama s ciljem razumijevanja i bržeg rješavanja problema (uključujući početnu potvrdu Vaše prijave u roku od 5 radnih dana od podnošenja);
- Prepoznati Vaš doprinos našem Security Researcher Hall of Fame, ukoliko ste prvi prijavili problem, a mi temeljem problema izvršimo promjenu koda ili konfiguracije.
Politika objavljivanja
- Obavijestite nas što je prije moguće nakon otkrivanja potencijalnog sigurnosnog problema, a mi ćemo se potruditi u što kraćem roku riješiti problem;
- Omogućite nam razumno vrijeme da riješimo problem prije bilo kakvog otkrivanja javnosti ili trećoj strani;
- Nastojte u dobroj vjeri izbjeći kršenje privatnosti, uništavanje podataka i prekid ili degradaciju naše usluge. Komunicirajte samo s računima čiji ste vlasnik ili uz izričito dopuštenje vlasnika računa.
Tko može sudjelovati u programu
Svatko tko ne radi za Worldline ili partnere Worldlinea, a prijavi jedinstven sigurnosni problem koji se nalazi u opsegu kako je niže navedeno i ne otkrije ga trećoj strani.
Obuhvaćeno programom
- Sve javne web stranice u vlasništvu, kojima upravlja ili koje kontrolira Worldline, uključujući web aplikacije koje se nalaze na tim stranicama.
- Svi softverski sustavi dostupni potrošačima putem PIN-a(COTS), uključujući samu PIN CVM aplikaciju kao i protokole koji se koriste za komunikaciju između PIN CVM aplikacije, SCRP-a i pozadinskih sustava za nadzor.
Nije obuhvaćeno programom
Sve stranice klijenata ili usluge koje pružaju treće osobe isključeni su iz opsega ovog programa.
U interesu sigurnosti naših korisnika, našeg osoblja, interneta općenito i Vas kao istraživača sigurnosti, sljedeće vrste testova isključene su iz opsega:
- Nalazi fizičkog testiranja kao što je pristup uredu (npr. otvorena vrata, stražnja vrata)
- Nalazi proizašli prvenstveno iz društvenog inženjeringa (npr. phishing, vishing)
- Nalazi iz aplikacija ili sustava koji nisu navedeni u odjeljku "Obuhvaćeno programom"
- UI i UX pogreške i pravopisne pogreške
- Napadi iscrpljivanjem resursa
- Uskraćenje usluge na razini mreže (tzv. DoS/DDoS napadi)
- Neovlašteno preuzimanje podataka u bilo kojim okolnostima
- Ne ugrožavate namjerno privatnost ili sigurnost osoblja Worldlinea ili bilo koje treće strane
- Ne ugrožavate namjerno intelektualno vlasništvo ili druge komercijalne ili financijske interese bilo kojeg osoblja ili subjekata tvrtke Worldline ili bilo koje treće strane.
Sve aktivnosti provedene na način i u skladu s ovom politikom smatrat će se ovlaštenim ponašanjem i nećemo pokrenuti sudski postupak protiv Vas. U slučaju da treća strana pokrene sudski postupak protiv Vas u vezi s aktivnostima koje se provode prema ovoj politici, poduzet ćemo razumne korake kako bismo dali do znanja da su Vaše radnje provedene u skladu s ovom politikom.
Hvala vam što pomažete da Worldline i naši korisnici budu sigurni! Molimo podnesite svoju prijavu Worldline Programu za objavljivanje informacija.