Program zodpovedného zverejňovania
Bezpečnosť našich systémov, produktov, informácií našich zamestnancov a zákazníkov berieme vážne a ceníme si komunitu bezpečnosti. Oceňujeme a povzbudzujeme bezpečnostných výskumníkov, aby nás kontaktovali a nahlásili potenciálne zraniteľné miesta identifikované v akomkoľvek produkte, systéme alebo aktíve patriace spoločnosti Worldline SA, jej pridruženým spoločnostiam a dcérskym spoločnostiam (spolu označované ako „Worldline“ alebo my/náš/naše). Ak sa domnievate, že ste identifikovali potenciálnu bezpečnostnú chybu, odošlite ju do nášho Programu zodpovedného zverejňovania.
Upozorňujeme, že Worldline neprevádzkuje verejný program odmien za chyby a neponúkame žiadnu odmenu ani kompenzáciu výmenou za predloženie potenciálnych problémov.
Pravidlá programu zodpovedného zverejňovania
Požadujeme, aby všetci výskumníci:
- Vynaložiť maximálne úsilie, aby ste sa vyhli narušeniu súkromia, zhoršeniu používateľskej skúsenosti, narušeniu produkčných systémov a zničeniu údajov počas testovania bezpečnosti;
- Nezapájajte sa do žiadnej činnosti, ktorá môže potenciálne alebo skutočne spôsobiť škodu spoločnosti Worldline, našim zákazníkom alebo zamestnancom;
- Neiniciujte žiadne podvodné finančné transakcie;
- Neuchovávajte, nezdieľajte, nekompromitujte ani neničte údaje Worldline alebo zákazníkov. Ak sa stretnete s údajmi umožňujúcimi identifikáciu osôb (PII), mali by ste okamžite zastaviť svoju činnosť, vymazať súvisiace údaje zo systému a okamžite kontaktovať Worldline. Tento krok chráni všetky potenciálne zraniteľné údaje a vás;
- Nezapájajte sa do žiadnej činnosti, ktorá porušuje (a) európske, federálne alebo štátne zákony alebo nariadenia alebo (b) zákony alebo nariadenia ktorejkoľvek krajiny, v ktorej (i) sa nachádzajú údaje, aktíva alebo systémy, (ii) je smerovaná dátová prevádzka alebo (iii) výskumný pracovník vykonáva výskumnú činnosť;
- Vykonávajte výskum iba v rozsahu uvedenom nižšie;
- Používajte identifikované komunikačné kanály na hlásenie informácií o zraniteľnosti; a
- Medzi vami a Worldline uchovávajte v tajnosti informácie o akýchkoľvek zraniteľných miestach, ktoré ste objavili.
Ak sa pri nahlasovaní problému budete riadiť týmito pokynmi, zaväzujeme sa že:
- Nebudeme viesť ani podporovať žiadne právne kroky súvisiace s vaším výskumom;
- Budeme s vami spolupracovať, aby ste problém rýchlo pochopili a vyriešili (vrátane počiatočného potvrdenia vašej správy do 5 pracovných dní od odoslania);
- Váš príspevok oceníme v našej Sieni slávy výskumníkov v oblasti bezpečnosti, ak ste ako prvý nahlásili problém a na jeho základe vykonáme zmenu kódu alebo konfigurácie.
Zásady zverejňovania
- Dajte nám vedieť čo najskôr po objavení potenciálneho bezpečnostného problému a my vynaložíme maximálne úsilie na rýchle vyriešenie problému;
- Poskytnite nám primeraný čas na vyriešenie problému pred akýmkoľvek zverejnením verejnosti alebo tretej strane;
- V dobrej viere sa snažte vyhnúť porušovaniu súkromia, zničeniu údajov a prerušeniu alebo zhoršeniu kvality našej služby. Komunikujte iba s účtami, ktoré vlastníte, alebo s výslovným povolením majiteľa účtu.
Kto sa môže zúčastniť programu
Každý, kto nepracuje pre Worldline alebo partnerov Worldline, kto nahlási jedinečný bezpečnostný problém v danom rozsahu a neprezradí ho tretej strane.
Rozsah
- Akékoľvek verejne prístupné webové stránky, ktoré vlastní, prevádzkuje alebo kontroluje spoločnosť Worldline, vrátane webových aplikácií hostených na týchto stránkach.
- Všetky spotrebiteľsky prístupné systémy softvérového zadávania PIN na COTS, vrátane samotnej aplikácie PIN CVM, ako aj protokolov používaných na komunikáciu medzi aplikáciou PIN CVM, SCRP a koncovými monitorovacími systémami.
Mimo rozsahu
Akékoľvek zákaznícke stránky alebo služby hosťované poskytovateľmi a službami tretích strán sú vylúčené z rozsahu pôsobnosti.
V záujme bezpečnosti našich používateľov, personálu, internetu vo všeobecnosti a vás ako bezpečnostného výskumníka sú z rozsahu pôsobnosti vylúčené nasledujúce typy testov:
- Zistenia z fyzického testovania, ako je napríklad prístup do kancelárie (napr. otvorené dvere, zadné dvere)
- Zistenia odvodené predovšetkým zo sociálneho inžinierstva (napr. phishing, vishing)
- Zistenia z aplikácií alebo systémov, ktoré nie sú uvedené v časti „Rozsah“
- Chyby UI a UX a pravopisné chyby
- Útoky na vyčerpanie zdrojov
- Zraniteľnosť odmietnutia služby (DoS/DDoS) na úrovni siete
- Za žiadnych okolností nevykonávate exfiltráciu údajov
- Zámerne neohrozujete súkromie alebo bezpečnosť personálu Worldline alebo akýchkoľvek tretích strán
- Zámerne neohrozujete duševné vlastníctvo alebo iné obchodné alebo finančné záujmy akéhokoľvek personálu alebo subjektov Worldline alebo akýchkoľvek tretích strán.
Akékoľvek činnosti vykonávané spôsobom, ktorý je v súlade s týmito zásadami, sa budú považovať za oprávnené správanie a nebudeme proti vám iniciovať právne kroky. Ak tretia strana iniciuje právne kroky proti vám v súvislosti s aktivitami vykonávanými podľa týchto zásad, podnikneme kroky, aby sme oznámili, že vaše kroky boli vykonané v súlade s týmito zásadami.
Ďakujeme, že pomáhate udržiavať Worldline a našich používateľov v bezpečí! Odošlite svoju správu do programu zverejňovania informácií Worldline.