Politique de divulgation responsable

Chez Mollie, nous croyons que la sécurité de nos systèmes, de notre réseau et de nos produits est primordiale. Nous y accordons beaucoup d'attention lors du développement et de la maintenance. Cependant, les vulnérabilités échappent parfois à la détection. Nous vous remercions de bien vouloir nous aviser si vous voyez quelque chose qui vous paraît anormal. Plus tôt nous serons au courant, pkus tôt nous pourrons prendre des mesures pour protéger nos clients.

Ce document décrit la procédure que nous avons mise en place à cet effet.

Signalement

Prévenez-nous dès que possible après avoir détecté un problème à security@mollie.com. Utilisez si possible notre code PGP ID=8B6E11C9 (fingerprint=0437 4B9A D845 56E3 D1C9 D62D C8A6 04B3 8B6E 11C9).

Règles du jeu

  • Ne partagez pas d'informations sur le problème de sécurité avec d'autres personnes avant que le problème ne soit résolu.
  • Fournissez des informations sur la manière et le moment où la vulnérabilité ou le dysfonctionnement se manifeste. Décrivez clairement la manière dont ce problème peut être reproduit et fournissez des renseignements sur la méthode utilisée et le moment des enquêtes.
  • Utilisez les connaissances sur le problème de sécurité de façon responsable. Ne faites aucune opération au-delà de ce qui est nécessaire pour démontrer le problème de sécurité. N'abusez pas du point vulnérable et ne conservez aucune donnée confidentielle obtenue par l'intermédiaire de cette vulnérabilité du système.
  • Laissez éventuellement vos coordonnées (adresse e-mail ou numéro de téléphone) de façon à ce que Mollie puisse vous contacter sur l'évaluation et la progression de la résolution de cette vulnérabilité. Nous prenons également au sérieux les signalements anonymes.
  • N'utilisez pas d'attaques physiques, d'attaques DDOS ou d'ingénierie sociale.

Notre politique de divulgation responsable n'est pas une invitation à analyser activement les vulnérabilités de notre réseau d'entreprise. Nous surveillons nous-mêmes notre réseau. Il y a donc de bonnes chances qu'un scan soit prélevé et que notre Centre des opérations de sécurité (COS) fasse une enquête à ce sujet.

Que fait Mollie en cas de Divulgation responsable ?

Lorsque vous signalez une vulnérabilité présumée dans un système TIC, nous la traitons de la manière suivante :

  • Vous recevez un accusé de réception du signalement de la part de Mollie dans les trois jours ouvrés.
  • Dans les trois jours ouvrés suivant l'accusé de réception, vous recevez une réaction avec l'évaluation du signalement et la date de résolution prévue. Nous nous efforçons également de vous informer entre-temps de l'avancement de la résolution du problème.
  • Mollie traite votre signalement en toute confidentialité et ne communique aucune de vos données à des tiers sans votre autorisation, sauf obligation légale ou à la suite d'une décision de justice.
  • Mollie déterminera avec vous la nécessité et la façon de divulguer le problème signalé. Cette divulgation n'a lieu qu'une fois le problème résolu. Dans la communication sur le problème signalé, Mollie mentionnera, si vous le souhaitez, votre nom en tant que responsable de la découverte.

Que ne pouvez-vous pas signaler ?

La présente politique de divulgation raisonnable n'est pas conçue pour le signalement de réclamations. Cette politique n'est pas non plus destinée à :

  • Signaler que le site Web n'est pas disponible
  • Signaler des e-mails frauduleux (phishing)
  • Signaler une fraude.

Consultez notre centre de support pour d'autres moyens de nous contacter.

Récompenses / Bug bounty

Afin de stimuler le signalement des problèmes de sécurité de nos systèmes, Mollie a mis en place un système « bug bounty », de reconnaissance de signalement de bugs. Nous offrons une indemnisation appropriée pour les signalements qui permettent effectivement de résoudre une vulnérabilité ou de modifier nos prestations de services. Nous décidons si le signalement peut être pris en compte à cet effet, ainsi que la nature et le montant de la rémunération.

Quels sont les systèmes/problèmes exclus des récompenses du programme bug bounty ?

Tous les systèmes accessibles sous nos logos ne relèvent pas du contrôle direct de Mollie. Bien que nous prenions également très au sérieux les rapports relatifs à ces systèmes, nous ne pouvons pas les inclure dans un programme bug bounty. Nous excluons également de ce programme les problèmes spécifiques qui, à notre avis, ne présentent pas de danger en dehors d'une installation de laboratoire.

SYSTÈMES EXCLUS

  • help.mollie.com
  • info.mollie.com
  • blog.mollie.com
  • status.mollie.com
  • jobs.mollie.com

TYPES DE PROBLÈMES DE SÉCURITÉ EXCLUS

  • Attaques par déni de service (D)DoS
  • Problèmes équivalant à self-XSS
  • Messages d'erreur sans données sensibles
  • Signalements qu’il est possible de déduire à partir des logiciels que nous utilisons
  • Problèmes nécessitant l'utilisation de systèmes d'exploitation, de navigateurs ou de plugins
    obsolètes
  • Problèmes que nous connaissons déjà

Cette politique a été élaborée sur la base des lignes directrices pour une divulgation responsable Leidraad Responsible Disclosure du NCSC.