Política de divulgación responsable

En Mollie, creemos que la seguridad de nuestros sistemas, nuestra red y nuestros productos es muy importante. Le prestamos mucha atención durante el desarrollo y mantenimiento. Sin embargo, a veces las vulnerabilidades escapan a la detección. Apreciamos que nos notifique si encuentra uno. Preferiríamos que se nos informara lo antes posible para que podamos tomar medidas para proteger a nuestros clientes.

Este documento describe el procedimiento que hemos preparado para ello.

Informar

Si cree haber encontrado un problema de seguridad en nuestro producto o servicio, notifíquenos lo antes posible por correo electrónico asecurity@mollie.com. Si es posible, utilice nuestra clave PGP ID=8B6E11C9 (fingerprint=0437 4B9A D845 56E3 D1C9 D62D C8A6 04B3 8B6E 11C9).

Reglas

  • No comparta información sobre el problema de seguridad con otras personas hasta que se resuelva el problema.
    Proporcione información sobre cómo y cuándo ocurre la vulnerabilidad o el mal funcionamiento. Describa claramente cómo se puede reproducir este problema y proporcione información sobre el método utilizado y el tiempo de investigación.
  • Sea responsable con el conocimiento del problema de seguridad. No realice ninguna acción más allá de las necesarias para demostrar el problema de seguridad. No abuse de la vulnerabilidad y no guarde datos confidenciales obtenidos a través de la vulnerabilidad en el sistema.
  • Deje sus datos de contacto (dirección de correo electrónico o número de teléfono) si lo desea, para que Mollie pueda ponerse en contacto con usted para informarle sobre la evaluación y el progreso de la solución de vulnerabilidades. También nos tomamos en serio los informes anónimos.
  • No utilizar ataques físicos, ataques DDOS o ingeniería social.

Nuestra política de divulgación responsable no es una invitación a explorar activamente la red de nuestra empresa en busca de vulnerabilidades. Nuestros sistemas están sometidos a un seguimiento continuo. Como resultado, existe una buena probabilidad de que se detecte un escaneo y nuestro Centro de Operaciones de Seguridad (SOC) lo investigará.

¿Cómo trata Mollie la divulgación responsable?

Cuando informe de una supuesta vulnerabilidad en un sistema informático, lo resolveremos de la siguiente manera:

  • Recibirá un acuse de recibo de Mollie en un plazo de tres días hábiles después del informe.
    Recibirá una respuesta en un plazo de tres días hábiles a partir del acuse de recibo que contendrá una evaluación del informe y la fecha prevista para su resolución. Nos esforzamos por mantenerlo informado sobre el progreso de la resolución.
    Mollie tratará su informe confidencialmente y no compartirá su información con terceros sin su permiso, a menos que sea requerido por ley o por una orden judicial.
    Mollie determinará junto con usted si se publica el problema y cómo. El problema sólo se publicará una vez que se haya resuelto. Si lo desea, Mollie mencionará su nombre como el descubridor en el informe sobre el problema.

Exclusiones

Este programa de Divulgación Responsable no está diseñado para la presentación de quejas. El programa tampoco está destinado a:

  • Informar de que la página web no está disponible.
  • Denunciar correos electrónicos falsos (phishing).
  • Denunciar fraudes.

Para cuestiones relacionadas con lo anterior y cualquier otra pregunta, por favor póngase en contacto con nuestro support team.

Recompensas / bug bounty

Mollie tiene un plan de recompensas para fomentar la notificación de problemas relacionados con la seguridad de nuestros sistemas. Nosotros decidimos si el informe es elegible y la naturaleza e importe de la remuneración. Nosotros decidimos si el informe es elegible, y la naturaleza e importe de la remuneración.

¿Qué sistemas/problemas están excluidos de las recompensas?

No todos los sistemas accesibles bajo nuestros logotipos están bajo el control directo de Mollie. Aunque también nos tomamos muy en serio los informes relativos a estos sistemas, no podemos permitir que se incluyan bajo un programa de recompensas por errores.

También excluimos problemas específicos que, en nuestra opinión, no constituyen una amenaza fuera del entorno de un laboratorio.

SISTEMAS EXCLUIDOS

  • help.mollie.com
  • info.mollie.com
  • blog.mollie.com
  • status.mollie.com
  • jobs.mollie.com

TIPOS O PROBLEMAS DE SEGURIDAD EXCLUIDOS

  • Ataques de (D)DOS
  • Problemas que equivalen a auto-XSS
  • Mensajes de error sin datos susceptibles
  • Informes a partir de los cuales se puede deducir el software que utilizamos
  • Problemas que requieran el uso de sistemas operativos, navegadores o sistemas operativos obsoletos
  • Problemas que ya conocemos

Esta política ha sido elaborada en base a la [Responsible Disclosure Guideline] del NCSC (https://www.ncsc.nl/english/current-topics/responsible-disclosure-guideline.html).