Programma di divulgazione responsabile
Abbiamo a cuore la sicurezza dei nostri sistemi e dei nostri prodotti, così come le informazioni dei nostri dipendenti e dei nostri clienti e attribuiamo grande valore alla community della sicurezza. Apprezziamo e incoraggiamo i ricercatori di sicurezza a contattarci per segnalarci potenziali vulnerabilità identificate in qualsiasi prodotto, sistema o risorsa appartenente a Worldline S.A., alle sue affiliate e alle sue consociate (indicate collettivamente come “Worldline” o “noi”). Invitiamo chiunque ritenga di aver individuato una potenziale vulnerabilità della sicurezza a sottoporla al nostro Programma di divulgazione responsabile.
Precisiamo che Worldline non gestisce un programma pubblico di bug bounty e non offre ricompense o compensi in cambio della segnalazione di potenziali problemi.
Linee guida del Programma di divulgazione responsabile
Richiediamo a tutti i ricercatori di:
Fare il possibile per evitare violazioni della privacy, deterioramenti dell’esperienza utente, interruzioni dei sistemi di produzione e distruzioni di dati durante i test di sicurezza;
Non intraprendere alcuna attività che possa potenzialmente o effettivamente causare danni a Worldline, ai nostri clienti o ai nostri dipendenti;
Non avviare transazioni finanziarie fraudolente;
Non conservare, condividere, compromettere o distruggere i dati di Worldline o dei clienti. Se vengono riscontrate informazioni di identificazione personale (PII), interrompere immediatamente l’attività, eliminare i relativi dati dal sistema e contattare immediatamente Worldline. Questa fase protegge eventuali dati potenzialmente vulnerabili e i ricercatori;
Non intraprendere attività che violino (a) leggi o normative europee, federali o statali o (b) leggi o normative di qualsiasi Paese in cui (i) risiedono dati, risorse o sistemi, (ii) viene instradato il traffico di dati o (iii) il ricercatore conduce attività di ricerca;
Eseguire ricerche solo entro i limiti del campo di applicazione indicato di seguito;
Utilizzare i canali di comunicazione indicati per trasmetterci le informazioni sulla vulnerabilità; e
Mantenere riservate, tra i ricercatori e Worldline, le informazioni sulle vulnerabilità scoperte.
Se i ricercatori seguono queste linee guida quando ci segnalano un problema, noi ci impegniamo a:
Non intraprendere o sostenere alcuna azione legale relativa alla loro ricerca;
Collaborare con i ricercatori per comprendere e risolvere rapidamente il problema (compresa una prima conferma della segnalazione entro 5 giorni lavorativi dall’invio);
Riconoscere il contributo del ricercatore nella nostra Hall of Fame dei ricercatori di sicurezza, se il ricercatore è stato il primo a segnalare il problema e noi abbiamo apportato una modifica al codice o alla configurazione sulla base del problema.
Politica di divulgazione
Comunicarci il prima possibile la scoperta di un potenziale problema di sicurezza: faremo il possibile per risolverlo rapidamente;
Concederci un periodo di tempo ragionevole per risolvere il problema prima di divulgarlo al pubblico o a terzi;
Cercare in buona fede di evitare violazioni della privacy, distruzioni dei dati e interruzioni o deterioramenti del nostro servizio; Interagire solo con account di cui si è proprietari o con il permesso esplicito del titolare dell’account.
Destinatari del programma
Al programma può partecipare chiunque non lavori per Worldline o per partner di Worldline e segnali un problema di sicurezza unico rientrante nell’ambito di applicazione, senza divulgarlo a terzi.
Ambito di applicazione
Qualsiasi sito web pubblico di proprietà di Worldline o gestito o controllato da Worldline, comprese le applicazioni web ospitate su tali siti.
Tutti i sistemi accessibili ai consumatori per inserimento di PIN basati su software su COTS, compresa l’applicazione PIN CVM stessa e i protocolli utilizzati per comunicare tra l’applicazione PIN CVM, l’SCRP e i sistemi di monitoraggio back-end.
Esclusioni dall’ambito di applicazione
Eventuali siti o servizi del cliente ospitati da fornitori terzi e servizi di terze parti sono esclusi dall’ambito di applicazione.
Nell’interesse della sicurezza dei nostri utenti, del personale, di Internet in generale e dei ricercatori di sicurezza, i seguenti tipi di test sono esclusi dall’ambito di applicazione:
Esiti di test fisici quali l’accesso ad uffici (ad es. porte aperte, tailgating)
Esiti derivanti principalmente da ingegneria sociale (es. phishing, vishing)
Esiti derivati da applicazioni o sistemi non elencati nella sezione “Ambito di applicazione”
Bug di UI e UX ed errori di ortografia
Attacchi per l’esaurimento delle risorse
Vulnerabilità Denial of Service a livello di rete (DoS/DDoS)
Esfiltrazione di dati in qualsiasi circostanza
Compromissione intenzionale della privacy o della sicurezza del personale di Worldline o di terzi
Compromissione intenzionale della proprietà intellettuale o di altri interessi commerciali o finanziari del personale o delle entità Worldline o di terzi.
Le attività condotte in linea con questa politica saranno considerate attività autorizzate e non daranno luogo ad azioni legali da parte di Worldline contro i ricercatori. Se una terza parte avvia un’azione legale nei confronti dei ricercatori in relazione alle attività condotte ai sensi della presente politica, adotteremo misure per rendere noto che le azioni dei ricercatori sono state condotte in conformità con la presente politica.
Grazie per contribuire a tenere Worldline e i suoi utenti al sicuro!