Felelősségteljes nyilvánosságra hozatali program
Komolyan vesszük rendszereink, termékeink, alkalmazottaink és ügyfeleink információinak biztonságát, és nagyra értékeljük a biztonsági közösséget. Nagyra értékeljük és bátorítjuk a biztonsági kutatókat, hogy lépjenek kapcsolatba velünk a Worldline S.A., annak leányvállalatai és leányvállalatai (a továbbiakban együttesen "Worldline" vagy "mi"/"minket"/"miénk") bármely termékében, rendszerében vagy eszközében azonosított potenciális sebezhetőségek bejelentése céljából. Ha úgy gondolja, hogy potenciális biztonsági rést azonosított, kérjük, küldje el azt a Felelősségteljes nyilvánosságra hozatali programunknak.
Felhívjuk figyelmét, hogy a Worldline nem működtet nyilvános hibajavító programot, és nem ajánlunk fel jutalmat vagy kompenzációt az esetleges problémák bejelentéséért cserébe.
A Felelősségteljes nyilvánosságra hozatali program irányelvei
Minden kutatótól elvárjuk, hogy:
- Tegyen meg mindent annak érdekében, hogy elkerülje az adatvédelem megsértését, a felhasználói élmény romlását, a termelési rendszerek megzavarását és az adatok megsemmisülését a biztonsági tesztelés során;
- Ne vegyen részt olyan tevékenységben, amely potenciálisan vagy ténylegesen kárt okozhat a Worldline-nak, ügyfeleinknek vagy alkalmazottainknak;
- Ne kezdeményezzen csalárd pénzügyi tranzakciókat;
- Ne tárolja, ossza meg, ne veszélyeztesse vagy semmisítse meg a Worldline vagy az ügyfelek adatait. Ha személyazonosításra alkalmas adatokkal (PII) találkozik, azonnal le kell állítania tevékenységét, törölnie kell a kapcsolódó adatokat a rendszeréből, és azonnal kapcsolatba kell lépnie a Worldline-nal. Ez a lépés védi a potenciálisan sebezhető adatokat és Önt;
- Ne vegyen részt olyan tevékenységben, amely sérti (a) az európai, szövetségi vagy állami törvényeket vagy rendeleteket, vagy (b) bármely olyan ország törvényeit vagy rendeleteit, ahol (i) az adatok, eszközök vagy rendszerek találhatók, (ii) az adatforgalmat továbbítják, vagy (iii) a kutató kutatási tevékenységet végez;
- Csak az alábbiakban meghatározott körön belül végezzen kutatást;
- Használja az azonosított kommunikációs csatornákat a sebezhetőségi információk jelentéséhez; és
- A felfedezett sebezhetőségekkel kapcsolatos információkat bizalmasan kezelje saját maga és a Worldline között.
Ha követi ezeket az irányelveket, amikor problémát jelent nekünk, kötelezettséget vállalunk a következőkre:
- Nem folytat vagy támogat semmilyen jogi lépést a kutatásával kapcsolatban;
- Együttműködik Önnel a probléma gyors megértése és megoldása érdekében (beleértve a jelentés első megerősítését a benyújtástól számított 5 munkanapon belül);
- Elismerjük hozzájárulását a Biztonsági Kutatók Hírességek Csarnokában, ha Ön az első, aki jelzi a problémát, és mi a probléma alapján kód- vagy konfigurációs változtatást hajtunk végre.
Nyilvánosságra hozatali szabályzat
- A lehető leghamarabb értesítsen bennünket, ha potenciális biztonsági problémát észlel, és mindent megteszünk a probléma gyors megoldása érdekében;
- Biztosítson számunkra ésszerű időt a probléma megoldására, mielőtt nyilvánosságra hoznánk vagy harmadik félhez eljuttatnánk;
- Tegyen jóhiszemű erőfeszítéseket az adatvédelmi jogsértések, az adatok megsemmisülésének, valamint a szolgáltatásunk megszakításának vagy minőségromlásának elkerülése érdekében. Csak az Ön tulajdonában lévő fiókokkal vagy a számlatulajdonos kifejezett engedélyével léphet kapcsolatba.
Kik vehetnek részt a programban
Bárki, aki nem a Worldline-nak vagy a Worldline partnereinek dolgozik, és egyedi biztonsági problémát jelent, és azt nem fedi fel harmadik félnek.
Hatály
- A Worldline tulajdonában lévő, üzemeltetett vagy ellenőrzött bármely nyilvános webhely, beleértve az ezeken a webhelyeken tárolt webalkalmazásokat is.
- A COTS szoftver alapú PIN-bevitel összes fogyasztó által elérhető rendszere, beleértve magát a PIN CVM alkalmazást, valamint a PIN CVM alkalmazás, az SCRP és a háttérfigyelő rendszerek közötti kommunikációhoz használt protokollokat.
Hatály kívül
A harmadik fél szolgáltatók és szolgáltatások által tárolt ügyféloldalak vagy szolgáltatások nem tartoznak a hatálya alá.
Felhasználóink, munkatársaink, általában az internet és Ön, mint biztonságkutató biztonsága érdekében a következő teszttípusok nem tartoznak a hatálya alá:
- Fizikai vizsgálatok eredményei, például az irodába való belépés (pl. nyitott ajtók, hátsó ajtók)
- Elsősorban social engineeringből (pl. adathalászat, vishing) származó megállapítások
- A „Hatály” részben nem szereplő alkalmazásokból vagy rendszerekből származó eredmények
- UI és UX hibák és helyesírási hibák
- Erőforrás-kimerülési támadások
- Hálózati szintű szolgáltatásmegtagadási (DoS/DDoS) biztonsági rések
- Ön semmilyen körülmények között nem szűri ki az adatokat
- Ön szándékosan nem veszélyezteti a Worldline személyzetének vagy bármely harmadik fél magánéletét vagy biztonságát
- Ön nem veszélyezteti szándékosan a Worldline személyzetének vagy entitásainak, illetve bármely harmadik fél szellemi tulajdonát vagy egyéb kereskedelmi vagy pénzügyi érdekeit.
A jelen szabályzattal összhangban végzett bármely tevékenység engedélyezett magatartásnak minősül, és nem indítunk jogi lépéseket Ön ellen. Ha egy harmadik fél jogi lépéseket kezdeményez Ön ellen a jelen szabályzat alapján végzett tevékenységekkel kapcsolatban, lépéseket teszünk annak érdekében, hogy kiderüljön, hogy az Ön tevékenységei a jelen szabályzatnak megfelelően történtek.
Köszönjük, hogy segít megőrizni a Worldline és felhasználóink biztonságát! Kérjük, küldje el jelentését a HackerOne Worldline nyilvánosságra hozatali programjához.