Zodpovědná
Politika zveřejňování
V Mollie věříme, že bezpečnost našich systémů, naší sítě a našich produktů je velmi důležitá. Věnujeme tomu hodně pozornosti během vývoje a údržby. Někdy však zranitelnosti uniknou pozornosti. Oceňujeme, když nás o tom informujete, pokud nějakou objevíte. Byli bychom rádi, kdybyste nás o tom informovali co nejdříve, abychom mohli přijmout opatření k ochraně našich zákazníků.
Tento dokument popisuje postup, který jsme pro to připravili.
Zprávy
Pokud věříte, že jste našli bezpečnostní problém v našem produktu nebo službě, prosím, informujte nás co nejdříve e-mailem na responsible-disclosure@mollie.com.
Pravidla
Nesdílejte informace o bezpečnostním problému s ostatními, dokud není problém vyřešen.
Poskytněte informace o tom, jak a kdy dochází k chybě nebo poruše. Jasně popište, jak lze tento problém znovu vytvořit, a poskytněte informace o použité metodě a čas vyšetřování.
Buďte zodpovědní s vědomostmi o bezpečnostním problému. Nevytvářejte žádné akce nad rámec těch, které jsou nezbytné k prokázání bezpečnostního problému. Nezneužívejte zranitelnost a neuchovávejte důvěrná data získaná prostřednictvím této zranitelnosti v systému.
Ponechte své kontaktní údaje (e-mailovou adresu nebo telefonní číslo), pokud chcete, aby vás Mollie mohl kontaktovat ohledně hodnocení a postupu řešení zranitelnosti. Bereme vážně i anonymní oznámení.
Nepoužívejte fyzické útoky, útoky DDOS nebo sociální inženýrství.
Naše politika zodpovědného odhalení není výzvou k aktivnímu prohledávání našeho firemního sítě na zranitelnosti. Naše systémy jsou nepřetržitě monitorovány. Výsledkem je, že existuje velká šance, že skenování bude odhaleno a naše Centrum bezpečnostních operací (SOC) jej bude vyšetřovat.
Jak Mollie nakládá s Odpovědným Odhalením?
Když nahlásíte podezření na zranitelnost v IT systému, budeme postupovat následujícím způsobem:
Obdržíte potvrzení o přijetí od Mollie do tří pracovních dnů po nahlášení.
Do tří pracovních dnů po potvrzení o přijetí obdržíte odpověď s hodnocením nahlášení a očekávaným termínem řešení. Snažíme se vás průběžně informovat o pokroku při řešení.
Mollie bude vaše nahlášení zachovávat v důvěrnosti a nebude sdílet vaše informace s třetími stranami bez vašeho svolení, pokud to nebude vyžadováno zákonem nebo soudním nařízením.
Mollie se s vámi dohodne, zda a jak bude problém nahlášen. Problém bude nahlášen až poté, co bude vyřešen. Pokud si přejete, Mollie uvede vaše jméno jako objevitele v rámci hlášení o problému.
Mollie API Postman kolekce
Testujete Mollie API? Použijte užitečnou Postman kolekci na GitHubu k snadnému odhalení dostupných parametrů popsaných v naší API dokumentaci.
Vyloučení
Tento program Responsible Disclosure není určen pro hlášení stížností. Program také není určen pro:
Hlášení, že webová stránka není dostupná.
Hlášení falešných e-mailů (phishingových e-mailů).
Hlášení podvodů.
Pro záležitosti týkající se výše uvedeného a jakékoli jiné dotazy se prosím obraťte na náš tým podpory.
Odměny / bug bounty
Mollie má program odměn za nález chyb, který motivuje k hlášení problémů týkajících se bezpečnosti našich systémů. Poskytujeme vhodnou peněžní odměnu za hlášení, která skutečně vedou k odstranění zranitelnosti nebo změně v našich službách. Rozhodujeme, zda je hlášení způsobilé, a určíme povahu a výši odměny.
Jaké systémy/problémy jsou vyloučeny z odměn za nalezení chyb?
Ne všechny systémy, které jsou zpřístupněny pod našimi logy, spadají pod přímou kontrolu Mollie. I když také bereme hlášení ohledně těchto systémů velmi vážně, nemůžeme je zařadit do programu odměn za chyby. Rovněž vylučujeme konkrétní problémy, které podle našeho názoru nepředstavují hrozbu mimo laboratorní prostředí.
VYLOUČENÉ SYSTÉMY
blog.mollie.com
campaigns.mollie.com
events.mollie.comhelp.mollie.com
info.mollie.com
jobs.mollie.com
status.mollie.com
partners.mollie.com
VYLOUČENÉ TYPY BEZPEČNOSTNÍCH PROBLÉMŮ
(D)DOS útoky
Problémy, které vedou k self-XSSError hlášením bez citlivých dat
Hlášení, z nichž lze odvodit, jaký software používáme
Problémy, které vyžadují použití velmi zastaralých operačních systémů, prohlížečů nebo – zastaralých pluginů
Problémy, které již známe
Tato politika byla vypracována na základě Responsible Disclosure Guideline NCSC.