首页 / 负责任披露计划
负责任披露计划
我们高度重视系统、产品以及员工与客户信息的安全性,并尊重安全研究社区的专业性与贡献。我们衷心感谢并鼓励安全研究人员与我们联系,并及时向我们报告在Worldline S.A.及其关联公司和子公司(以下简称“Worldline”或“我们”)、的任何产品、系统或资产中发现的潜在安全漏洞。如果您发现了潜在的安全漏洞,请提交至我们的“负责任披露计划”。
请注意,Worldline并不实施公开的漏洞赏金计划( Bug Bounty Programme)。对于提交潜在安全漏洞的行为,我方不提供任何形式的奖励或补偿。
负责任披露计划指南
我们要求所有研究人员:
- 在进行安全测试时,请务必采取一切必要措施,以避免侵犯个人隐私、影响用户体验、干扰生产系统的正常运行以及造成数据损坏;
- 请勿从事任何可能或实际损害Worldline、我们的客户或员工利益的行为;
- 请勿发起任何欺诈性金融交易;
- 请勿存储、传播、损害或销毁Worldline或客户的数据。若无意接触到个人可识别信息(PII),请立即停止所有相关操作,从您的系统中彻底清除相关数据,并第一时间与Worldline取得联系。这一重要举措旨在保护可能易遭风险的数据,同时也保障您自身的安全;
- 请勿从事任何违反以下规定的行为:(a)欧洲、联邦或各州法律法规或(b)任何国家法律或法规的活动,这些国家包括(i)数据、资产或系统所在的国家,(ii)数据传输所经过的国家,或(iii)研究人员进行研究活动的国家;
- 开展研究工作时,请遵循以下规定。
- 请使用指定的沟通渠道向我们报告漏洞信息;及,
- 对于您所发现的任何漏洞信息,仅限于您与Worldline之间的沟通。
如果您在向我们报告问题时能遵循上述指南,我们将郑重承诺:
- 不会因您的研究而对您采取或支持任何法律行动;
- 与您共同协作,尽快分析并解决您提交的问题(包括在收到报告后的5个工作日内对您的反馈进行初步确认);
- 基于所发现的问题,我们将进行相应的代码或配置优化调整。
披露政策
- 一旦发现潜在的安全问题,请尽快通知我们,我们将竭尽全力迅速解决问题;
- 在将问题公之于众或透露给第三方之前,请给予我们充足的时间来妥善解决该问题,以确保交易的安全与稳定;
- 秉持诚信原则,主动规避侵犯隐私、破坏数据及中断或降低我们的服务质量的行为。确保只与您自己名下的账户或已得到账户持有人明确授权的情况下进行交互操作。
谁可以参加负责任披露计划?
非Worldline或其合作伙伴的员工,在发现特定范围内的独特安全问题时,且未将该问题泄露给第三方。
披露范围
- Worldline拥有、运营或管理的对公众开放的任何网站,包括托管在这些网站上的网络应用程序;
- 所有消费者可访问的基于软件的PIN输入商用现货(COTS)系统,包括PIN CVM应用程序本身,以及PIN CVM应用程序、安全读取控制协议(SCRP)与后端监控系统间所使用的通信协议。
不属于披露范围
任何由第三方服务提供商托管的客户站点或服务均不属于披露的范围。
为确保我们用户、员工以及整个互联网环境的安全,同时也为了保障安全研究人员的利益,以下测试类型不纳入披露的范围:
- 物理场所安全测试的发现,如办公室进出管理(如开放的门、尾随进入等);
- 主要通过社会工程学手段得出的发现(如网络钓鱼、语音钓鱼等);
- 不属于“披露范围”明确提及的应用或系统;
- 用户界面和用户体验的问题以及拼写错误;
- 资源耗尽型攻击;
- 网络层面的拒绝服务(DoS/DDoS)漏洞;
- 在任何情况下,都不得窃取或外泄任何数据;
- 不得故意侵犯Worldline员工或任何第三方的隐私或安全;
- 不得故意侵犯Worldline员工、实体或任何第三方的知识产权、商业利益或财务利益。
任何符合本政策规定的行为,我们都将视其为授权行为,并且不会因此对您提起法律诉讼。若您因在本政策指引下开展活动而遭到第三方的法律诉讼,我们将积极采取措施,明确表明您的行为是符合本政策要求,以维护您的合法权益。
感谢您为Worldline和我们用户的安全保驾护航!请将您的报告提交至HackerOne上的Worldline漏洞披露计划,以协助我们共同提升系统安全性。