Richtlinien zur verantwortungsvollen Offenlegung

Wir bei Mollie legen sehr viel Wert auf die Sicherheit unserer Systeme, unseres Netzwerks und unserer Produkte. Wir widmen der Entwicklung und der Wartung große Aufmerksamkeit. Natürlich kann es trotzdem vorkommen, dass eine Schwachstelle entdeckt wird. Wir freuen uns immer, wenn Sie uns eine solche Schwachstelle melden. Vorzugsweise sollten Sie uns so schnell wie möglich informieren, damit wir Maßnahmen zum Schutz unserer Kunden treffen können.

In diesem Dokument wird das Verfahren beschrieben, das wir zu diesem Zweck eingerichtet haben.

Melden

Senden Sie die Meldung vorzugsweise so schnell wie möglich nach Entdeckung der Schwachstelle an security@mollie.com. Verwenden Sie dabei nach Möglichkeit unseren PGP-Schlüssel ID=8B6E11C9 (fingerprint=0437 4B9A D845 56E3 D1C9 D62D C8A6 04B3 8B6E 11C9).

Spielregeln

  • Teilen Sie Informationen über das Sicherheitsproblem nicht mit Dritten, bis das Problem gelöst ist.
  • Teilen Sie mit, wie und wann die Schwachstelle oder Störung auftritt. Beschreiben Sie deutlich, wie dieses Problem reproduziert werden kann, und liefern Sie Informationen über das verwendete Verfahren und den Zeitpunkt der Untersuchung.
  • Gehen Sie mit Ihrem Wissen über das Sicherheitsproblem verantwortungsbewusst um. Nehmen Sie keinerlei Handlungen vor, die darüber hinausgehen, was notwendig ist, um das Sicherheitsproblem kenntlich zu machen. Nutzen Sie die Schwachstelle nicht aus und speichern Sie keine vertraulichen Daten, die aufgrund der Schwachstelle im System erlangt wurden.
  • Hinterlassen Sie bei Bedarf Kontaktdaten (E-Mail-Adresse oder Telefonnummer), damit Mollie zur Beurteilung und zum Fortschritt bei der Beseitigung der Schwachstelle Kontakt zu Ihnen aufnehmen kann. Wir nehmen auch anonyme Meldungen ernst.
  • Physische Angriffe, DDOS-Angriffe und Social Engineering sind verboten.

Unsere Richtlinien zur verantwortungsvollen Offenlegung stellen keine Aufforderung dar, unser Firmennetzwerk umfassend aktiv auf Schwachstellen zu überprüfen. Wir überwachen unser Netzwerk selbst. Das erhöht die Wahrscheinlichkeit, dass ein Scan-Versuch bemerkt wird und unser Security Operation Centre (SOC) eine solche Aktivität untersucht.

Wie verfährt Mollie bei einer verantwortungsvollen Offenlegung?

Wenn Sie eine mutmaßliche Schwachstelle in einem IT-System melden, behandeln wir diese Meldung wie folgt:

  • Sie erhalten innerhalb von drei Werktagen nach der Meldung eine Empfangsbestätigung von Mollie.
  • Innerhalb von drei Werktagen nach der Empfangsbestätigung erhalten Sie eine Reaktion, die eine Beurteilung der Meldung und das voraussichtliche Datum der Lösung beinhaltet. Wir sind bestrebt, Sie auch in der Zwischenzeit über den Fortschritt bei der Lösung des Problems zu informieren.
  • Mollie behandelt Ihre Meldung vertraulich und teilt Ihre Informationen nicht ohne Ihre Zustimmung mit Dritten, es sei denn, dies ist gesetzlich oder aufgrund eines Gerichtsurteils vorgeschrieben.
  • Mollie wird gemeinsam mit Ihnen entscheiden, ob und wie über das gemeldete Problem berichtet wird. Ein Bericht wird erst nach der Lösung des Problems veröffentlicht. Wenn Sie das wünschen, erwähnt Mollie im Bericht über das gemeldete Problem Ihren Namen und den Umstand, dass Sie das Problem entdeckt haben.

Was können Sie nicht melden?

Diese Richtlinien für verantwortungsvolle Offenlegung gelten nicht für Beschwerden. Außerdem erstreckt sich diese Regelung nicht auf Folgendes:

  • die Meldung, dass eine Webseite nicht erreichbar ist,
  • die Meldung von gefälschten E-Mails (Phishing-E-Mails),
  • die Meldung von Betrug.

In unserem Supportcenter erhalten Sie weitere Informationen darüber, wie Sie in solchen Fällen mit uns Kontakt aufnehmen können.

Belohnungen / Bug Bounty

Um die Meldung von Problemen mit der Sicherheit unserer Systeme zu unterstützen, hat Mollie ein Bug-Bounty-Programm eingerichtet. Meldungen, die tatsächlich dazu führen, dass eine Schwachstelle oder Veränderung unserer Dienstleistung beseitigt wird, entlohnen wir mit einer angemessenen Vergütung. Wir entscheiden, ob die Meldung für eine solche Vergütung in Frage kommt, sowie über die Art und Höhe der Belohnung.

Welche Systeme/Probleme sind von Bug-Bounty-Belohnungen ausgeschlossen?

Nicht alle Systeme, die unter unseren Bildmarken zugänglich sind, unterliegen der direkten Kontrolle von Mollie. Obwohl wir Meldungen im Zusammenhang mit diesen Systemen ebenfalls sehr ernst nehmen, fallen diese Systeme nicht unter die Bug-Bounty-Regelung.
Auch spezifische Probleme, die unserer Ansicht nach außerhalb einer Laborumgebung keine Bedrohung darstellen, sind von einer Bug Bounty ausgeschlossen.

AUSGESCHLOSSENE SYSTEME

  • help.mollie.com
  • info.mollie.com
  • blog.mollie.com
  • status.mollie.com

AUSGESCHLOSSENE ARTEN VON SICHERHEITSPROBLEMEN

  • (D)DOS-Angriffe
  • Probleme im Zusammenhang mit Self-XSS
  • Fehlermeldungen ohne sensible Daten
  • Meldungen, die auf von uns verwendete Software zurückzuführen sind
  • Probleme, die bei Nutzung äußerst veralteter Betriebssysteme, Browser oder ungewöhnlicher Plug-ins auftreten
  • Probleme, die uns bereits bekannt sind

Diese Richtlinien wurden auf der Grundlage des Leitfadens für verantwortungsbewusste Offenlegung des NCSC erstellt.