Odgovorna
Politika razkritja

Pri Mollie verjamemo, da je varnost naših sistemov, omrežja in izdelkov zelo pomembna. Na to smo zelo pozorni med razvojem in vzdrževanjem. Vendar pa včasih ranljivosti uidejo našemu opažanju. Cenimo, da nas obvestite, če katero odkrijete. Raje bi slišali o tem čim prej, da lahko sprejmemo ukrepe za zaščito naših strank.

Ta dokument opisuje postopek, ki smo ga pripravili za to.

Poročanje

Če menite, da ste odkrili varnostno težavo v našem izdelku ali storitvi, nas o tem čim prej obvestite tako, da nam pošljete e-pošto na responsible-disclosure@mollie.com.

Pravila

Ne delite informacij o varnostni težavi z drugimi, dokler težava ni rešena.

  • Posredujte informacije o tem, kako in kdaj se pojavi ranljivost ali okvara. Jasno opišite, kako se lahko ta težava ponovi, ter posredujte podatke o uporabljeni metodi in času preiskave.

  • Bodite odgovorni s pridobljenim znanjem o varnostni težavi. Ne izvajajte ničesar, kar presega tisto, kar je potrebno za prikaz varnostne težave. Ne zlorabljajte ranljivosti in ne hranite zaupnih podatkov, pridobljenih preko ranljivosti, v sistemu.

  • Pustite svoje kontaktne podatke (e-poštni naslov ali telefonsko številko), če želite, da vas Mollie kontaktira glede ocene in napredka rešitve ranljivosti. Prav tako resno jemljemo anonimna poročila.

  • Ne uporabljajte fizičnih napadov, DDOS napadov ali socialnega inženiringa.

Naša politika odgovornega razkritja ni povabilo k aktivnemu pregledovanju našega omrežja podjetja zaradi ranljivosti. Naši sistemi se nenehno nadzorujejo. Zato obstaja velika verjetnost, da bo pregled zaznan in bo naš Security Operation Center (SOC) to preiskal.

Kako Mollie obravnava odgovorno razkritje?

Ko poročate o domnevni ranljivosti v IT sistemu, bomo to obravnavali na naslednji način:

  • Potrdilo o prejetju boste prejeli od Mollie v treh delovnih dneh po prijavi.

  • Odgovor boste prejeli v treh delovnih dneh po potrditvi prejetja, ki bo vseboval oceno poročila in pričakovani datum rešitve. Prizadevamo si, da vas obveščamo o napredku rešitve.

  • Mollie bo vaše poročilo obravnaval zaupno in ne bo delil vaših informacij s tretjimi osebami brez vašega dovoljenja, razen če to zahteva zakon ali sodna odredba.

  • Mollie bo skupaj z vami določil, ali in kako se bo o težavi poročalo. O težavi se bo poročalo šele po tem, ko bo rešena. Če želite, bo Mollie v poročilu o težavi omenil vaše ime kot odkritelj.

Mollie API Postman zbirka

Preizkušate Mollie API? Uporabite koristno Postman zbirko na GitHubu za enostavno odkrivanje razpoložljivih parametrov, opisanih v naši API dokumentaciji.

Izključitve

Ta shema odgovornega razkritja ni namenjena poročanju pritožb. Shema prav tako ni namenjena za:

  • Poročanje, da spletna stran ni dostopna.

  • Poročanje o ponarejenih e-poštah (lažne e-pošte).

  • Poročanje o goljufijah.

Za vprašanja glede zgoraj navedenega in druge poizvedbe se prosimo obrnite na naš podporni tim.

Nagrade / bug bounty

Mollie ima nagradni program za odpravljanje napak, da spodbuja poročanje o težavah glede varnosti naših sistemov. Za poročila, ki dejansko vodijo do odprave ranljivosti ali spremembe naših storitev, nudimo ustrezno denarno nagrado. Mi odločamo, ali je poročilo upravičeno ter kakšna je narava in višina nagrade.

Kateri sistemi/težave so izključeni iz nagrad za odpravljanje napak?

Ni vsi sistemi, ki so dostopni pod našimi logotipi, pod neposrednim nadzorom Mollie. Čeprav tudi poročila o teh sistemih jemljemo zelo resno, jih ne moremo vključiti v shemo nagrad za ranljivosti. Prav tako izključujemo specifične težave, ki po našem mnenju ne predstavljajo grožnje zunaj laboratorijskega okolja.

IZKLJUČENI SISTEMI

  • blog.mollie.com

  • campaigns.mollie.com

  • events.mollie.comhelp.mollie.com

  • info.mollie.com

  • jobs.mollie.com

  • status.mollie.com

  • partners.mollie.com

IZKLJUČENE VRSTE VARNOSTNIH TEŽAV

  • (D)DOS napadi

  • Težave, ki tvorijo self-XSS Napake brez občutljivih podatkov

  • Poročila, iz katerih se lahko analizira katero programsko opremo uporabljamo

  • Težave, ki zahtevajo uporabo močno zastarelih operacijskih sistemov, brskalnikov ali – zastarelih vtičnikov

  • Težave, ki so nam že znane

Ta politika je bila sestavljena na podlagi Smernice o odgovornem poročanju NCSC.

MolliePravilnik o odgovornem razkritju
MolliePravilnik o odgovornem razkritju