Politica di divulgazione responsabile

Noi di Mollie pensiamo che la sicurezza dei nostri sistemi, della nostra rete e dei nostri prodotti sia fondamentale. Prestiamo molta attenzione a questo aspetto durante le fasi di sviluppo e mantenimento. Tuttavia, a volte le vulnerabilità non vengono rilevate. Se ne riscontrate una, fatecelo sapere. Preferiremmo saperlo il prima possibile, in modo da poter adottare misure per tutelare i clienti.

Questo documento illustra la procedura che abbiamo preparato a tal proposito.

Segnalazioni

Se pensate di aver trovato un problema di sicurezza in un nostro prodotto o servizio, fatecelo sapere il prima possibile scrivendoci a security@mollie.com. Se possibile, utilizzate la nostra chiave PGP ID=8B6E11C9 (fingerprint=0437 4B9A D845 56E3 D1C9 D62D C8A6 04B3 8B6E 11C9).

Regolamenti

  • Non condividere informazioni su un problema di sicurezza con altri finché esso non sarà risolto.
  • Fornire informazioni su come e quando si verifica la vulnerabilità o il malfunzionamento. Descrivere nel dettaglio in che modo il problema può riprodursi e fornire informazioni sull'ora e il metodo utilizzato per l'indagine.
  • Se si è a conoscenza di un problema di sicurezza, trattare tale informazione con responsabilità. Non compiere azioni oltre a quelle necessarie a dimostrare il problema di sicurezza. Non abusare della vulnerabilità e non tenere per sé alcun dato confidenziale ottenuto attraverso tale vulnerabilità nel sistema.
  • Lasciare le proprie informazioni di contatto (indirizzo e-mail o numero di telefono), se lo si desidera, in modo che Mollie possa contattarvi in merito alla valutazione e allo stato di avanzamento della soluzione alla vulnerabilità. Prendiamo sul serio anche le segnalazioni anonime.
  • Non utilizzare attacchi fisici, attacchi DDOS o ingegneria sociale.

La nostra politica di divulgazione responsabile non è un invito a sottoporre a scansione attiva la nostra rete aziendale per rilevare eventuali vulnerabilità. I nostri sistemi vengono costantemente monitorati. Di conseguenza, c'è una buona probabilità che una scansione venga rilevata e che il nostro Security Operation Center (SOC) svolga un'indagine.

Mollie – Politica di divulgazione responsabile

Quando si segnala una vulnerabilità sospetta all'interno di un sistema informatico, ce ne occuperemo come seguire:

  • Vi verrà inviata una conferma di ricezione da parte di Mollie entro tre giorni lavorativi dalla segnalazione.
  • Riceverete una risposta entro tre giorni lavorativi dalla conferma di ricezione contenente una valutazione del rapporto e la data prevista di risoluzione. Facciamo del nostro meglio per mantenervi informati sull'avanzamento della risoluzione.
  • Mollie tratterà la segnalazione in modo confidenziale e non condividerà le vostre informazioni con terzi senza la vostra autorizzazione, a meno che ciò non sia richiesto dalla legge o da un'ordinanza del tribunale.
  • Mollie determinerà insieme a voi se e in che modo il problema viene segnalato. Il problema verrà segnalato solo dopo essere stato risolto. Se lo desiderate, Mollie riporterà il vostro nome in qualità di scopritore nella segnalazione del problema.

Esclusioni

Questo schema di divulgazione responsabile non è destinato alla segnalazione di reclami. Questo schema non è inteso neanche per:

  • Segnalare che il sito non è disponibile.
  • Segnalare e-mail false (e-mail di phishing).
  • Segnalare truffe.

Per problemi riguardanti quanto elencato sopra o qualsiasi altra richiesta, contattate la nostra assistenza.

Ricompense/bug bounty

Mollie ha un programma bug bounty per incoraggiare la segnalazione di problemi relativi alla sicurezza dei nostri sistemi. Mettiamo a disposizione una remunerazione monetaria appropriata per le segnalazioni che aiutano a porre rimedio a una vulnerabilità o a un cambiamento nei nostri servizi. Siamo noi a decidere se una segnalazione è ammissibile e la natura e l'importo della remunerazione.

Quali sistemi/problemi sono esclusi dai premi del bug bounty?

Non tutti i sistemi accessibili sotto i nostri loghi cadono sotto il controllo diretto di Mollie. Anche se prendiamo molto seriamente le segnalazioni su questi sistemi, non possiamo permettere che rientrino nel programma bug bounty.

Escludiamo anche determinati problemi che secondo noi non costituiscono una minaccia all'esterno di un contesto di laboratorio.

SISTEMI ESCLUSI

  • help.mollie.com
  • info.mollie.com
  • blog.mollie.com
  • status.mollie.com
  • jobs.mollie.com

TIPI DI PROBLEMI DI SICUREZZA ESCLUSI

  • Attacchi (D)DOS
  • Problemi che equivalgono a self-XSS
  • Messaggi d'errore senza dati sensibili
  • Rapporti da cui possono essere dedotti software che utilizziamo
  • Problemi che richiedono l'uso di sistemi operativi o browser ormai obsoleti o plugin obsoleti
  • Problemi che ci sono già noti

Questa politica è stata redatta sulla base delle linee guida di divulgazione responsabile del NCSC.