Responsible Disclosure Programme

We nemen de beveiliging van onze systemen, producten en informatie van onze medewerkers en klanten serieus en we waarderen de beveiligingsgemeenschap. We stellen het op prijs en moedigen beveiligingsonderzoekers aan om contact met ons op te nemen om potentiële kwetsbaarheden te melden die zijn ontdekt in een product, systeem of bedrijfsmiddel dat eigendom is van Worldline S.A., haar filialen en vestigingen (hierin gezamenlijk 'Worldline' of 'we'/'ons'/'onze' genoemd). Als u denkt dat u een potentieel beveiligingslek heeft ontdekt, meld dit dan aan ons Responsible Disclosure Programme.

Let op: Worldline heeft geen openbaar bug bounty-programma en we bieden geen beloning of compensatie voor het melden van mogelijke problemen. 


Richtlijnen Responsible Disclosure Programma 

We eisen dat alle onderzoekers:

  • Doe er alles aan om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging van gegevens tijdens beveiligingstests te vermijden;
  • Doe niet mee aan activiteiten die mogelijk of effectief schade kunnen toebrengen aan Worldline, onze klanten of onze medewerkers;
  • Start geen frauduleuze financiële transacties;
  • Bewaar, deel, compromitteer of vernietig geen gegevens van Worldline of klanten. Als persoonlijk identificeerbare informatie (PII) wordt aangetroffen, moet u uw activiteiten onmiddellijk staken, gerelateerde gegevens van uw systeem wissen en onmiddellijk contact opnemen met Worldline. Deze stap beschermt alle potentieel kwetsbare gegevens en u;
  • Voer geen activiteiten uit die in strijd zijn met (a) Europese, federale of staatswetten of regelgevingen of (b) de wet- of regelgeving van een land waar (i) gegevens, activa of systemen zich bevinden, (ii) dataverkeer geleid wordt of (iii) de onderzoeker onderzoeksactiviteiten uitvoert;
  • Voer alleen onderzoek uit binnen het hieronder beschreven bereik;
    • Gebruik de geïdentificeerde communicatiekanalen om informatie over kwetsbaarheden aan ons te melden; en
    • o Houd informatie over kwetsbaarheden die u heeft ontdekt vertrouwelijk tussen uzelf en Worldline.

Als u deze richtlijnen volgt wanneer u een probleem aan ons meldt, verplichten wij ons ertoe om:

  • Geen juridische stappen te ondernemen of te ondersteunen die verband houden met uw onderzoek;
  • Met u samen te werken om het probleem snel te begrijpen en op te lossen (inclusief een eerste bevestiging van uw melding binnen de 5 werkdagen nadat ze gedaan is);
  • Op basis van het probleem een code- of configuratiewijziging door te voeren. 

Openbaarmakingsbeleid 

  • Laat het ons zo snel mogelijk weten als u een mogelijk beveiligingsprobleem ontdekt, dan zullen we er alles aan doen om het probleem snel op te lossen;
  • Geef ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat het openbaar wordt gemaakt aan het publiek of een derde partij;
  • Doe een oprechte inspanning om privacyschendingen, vernietiging van gegevens en onderbreking of verslechtering van onze service te vermijden. Communiceer alleen met accounts waarvan u de eigenaar bent of met uitdrukkelijke toestemming van de accounthouder.  

Wie kan deelnemen aan het programma? 

Iedereen die niet voor Worldline of partners van Worldline werkt, die een uniek beveiligingsprobleem meldt en dit niet aan derden doorgeeft. 

Toepassingsgebied 

  • Elke publieke website die eigendom is van, beheerd of bestuurd wordt door Worldline, inclusief webtoepassingen die op die sites gehost worden.
  • Alle voor de consument toegankelijke systemen van PIN Entry op softwarebasis op COTS, inclusief de PIN CVM-toepassing zelf en de protocollen die gebruikt worden om te communiceren tussen de PIN CVM-toepassing, SCRP en back-end monitoringsystemen. 

Buiten het toepassingsgebied 

Eventuele clientsites of services die worden gehost door derde providers en services vallen buiten het toepassingsgebied.

In het belang van de veiligheid van onze gebruikers, medewerkers, het internet in het algemeen en u als beveiligingsonderzoeker, zijn de volgende soorten tests uitgesloten van het toepassingsgebied:

  • Bevindingen van fysieke tests zoals toegang tot kantoor (bv. open deuren, bumperkleven)
  • Bevindingen voornamelijk afkomstig van social engineering (bv. phishing, vishing)
  • Bevindingen van toepassingen of systemen die niet in het gedeelte 'Toepassingsgebied' genoemd worden
  • UI- en UX-fouten en spelfouten
  • Resource Exhaustion Attacks
  • Kwetsbaarheden voor Denial of Service (DoS/DDoS) op netwerkniveau
  • U exfiltreert onder geen enkele beding gegevens
  • U brengt de privacy of veiligheid van het personeel van Worldline of derden niet opzettelijk in gevaar
  • U brengt het intellectuele eigendom of andere commerciële of financiële belangen van personeel of entiteiten van Worldline of derden niet opzettelijk in gevaar.

Activiteiten die uitgevoerd worden op een manier die in overeenstemming is met dit beleid worden als toegestaan gedrag beschouwd en we zullen geen juridische stappen tegen u ondernemen. Als een derde partij gerechtelijke stappen tegen u onderneemt in verband met activiteiten die onder dit beleid zijn uitgevoerd, zullen we stappen ondernemen om bekend te maken dat uw acties in overeenstemming met dit beleid zijn uitgevoerd.

Bedankt voor uw hulp om Worldline en onze gebruikers veilig te houden! Stuur uw melding naar het openbaarmakingsprogramma van Worldline op HackerOne.