Odgovorna
Politika razkritja
Pri Mollie verjamemo, da je varnost naših sistemov, omrežja in izdelkov zelo pomembna. Na to smo zelo pozorni med razvojem in vzdrževanjem. Vendar pa včasih ranljivosti uidejo našemu opažanju. Cenimo, da nas obvestite, če katero odkrijete. Raje bi slišali o tem čim prej, da lahko sprejmemo ukrepe za zaščito naših strank.
Ta dokument opisuje postopek, ki smo ga pripravili za to.
Poročanje
Če menite, da ste odkrili varnostno težavo v našem izdelku ali storitvi, nas o tem čim prej obvestite tako, da nam pošljete e-pošto na responsible-disclosure@mollie.com.
Pravila
Ne delite informacij o varnostni težavi z drugimi, dokler težava ni rešena.
Posredujte informacije o tem, kako in kdaj se pojavi ranljivost ali okvara. Jasno opišite, kako se lahko ta težava ponovi, ter posredujte podatke o uporabljeni metodi in času preiskave.
Bodite odgovorni s pridobljenim znanjem o varnostni težavi. Ne izvajajte ničesar, kar presega tisto, kar je potrebno za prikaz varnostne težave. Ne zlorabljajte ranljivosti in ne hranite zaupnih podatkov, pridobljenih preko ranljivosti, v sistemu.
Pustite svoje kontaktne podatke (e-poštni naslov ali telefonsko številko), če želite, da vas Mollie kontaktira glede ocene in napredka rešitve ranljivosti. Prav tako resno jemljemo anonimna poročila.
Ne uporabljajte fizičnih napadov, DDOS napadov ali socialnega inženiringa.
Naša politika odgovornega razkritja ni povabilo k aktivnemu pregledovanju našega omrežja podjetja zaradi ranljivosti. Naši sistemi se nenehno nadzorujejo. Zato obstaja velika verjetnost, da bo pregled zaznan in bo naš Security Operation Center (SOC) to preiskal.
Kako Mollie obravnava odgovorno razkritje?
Ko poročate o domnevni ranljivosti v IT sistemu, bomo to obravnavali na naslednji način:
Potrdilo o prejetju boste prejeli od Mollie v treh delovnih dneh po prijavi.
Odgovor boste prejeli v treh delovnih dneh po potrditvi prejetja, ki bo vseboval oceno poročila in pričakovani datum rešitve. Prizadevamo si, da vas obveščamo o napredku rešitve.
Mollie bo vaše poročilo obravnaval zaupno in ne bo delil vaših informacij s tretjimi osebami brez vašega dovoljenja, razen če to zahteva zakon ali sodna odredba.
Mollie bo skupaj z vami določil, ali in kako se bo o težavi poročalo. O težavi se bo poročalo šele po tem, ko bo rešena. Če želite, bo Mollie v poročilu o težavi omenil vaše ime kot odkritelj.
Mollie API Postman zbirka
Preizkušate Mollie API? Uporabite koristno Postman zbirko na GitHubu za enostavno odkrivanje razpoložljivih parametrov, opisanih v naši API dokumentaciji.
Izključitve
Ta shema odgovornega razkritja ni namenjena poročanju pritožb. Shema prav tako ni namenjena za:
Poročanje, da spletna stran ni dostopna.
Poročanje o ponarejenih e-poštah (lažne e-pošte).
Poročanje o goljufijah.
Za vprašanja glede zgoraj navedenega in druge poizvedbe se prosimo obrnite na naš podporni tim.
Nagrade / bug bounty
Mollie ima nagradni program za odpravljanje napak, da spodbuja poročanje o težavah glede varnosti naših sistemov. Za poročila, ki dejansko vodijo do odprave ranljivosti ali spremembe naših storitev, nudimo ustrezno denarno nagrado. Mi odločamo, ali je poročilo upravičeno ter kakšna je narava in višina nagrade.
Kateri sistemi/težave so izključeni iz nagrad za odpravljanje napak?
Ni vsi sistemi, ki so dostopni pod našimi logotipi, pod neposrednim nadzorom Mollie. Čeprav tudi poročila o teh sistemih jemljemo zelo resno, jih ne moremo vključiti v shemo nagrad za ranljivosti. Prav tako izključujemo specifične težave, ki po našem mnenju ne predstavljajo grožnje zunaj laboratorijskega okolja.
IZKLJUČENI SISTEMI
blog.mollie.com
campaigns.mollie.com
events.mollie.comhelp.mollie.com
info.mollie.com
jobs.mollie.com
status.mollie.com
partners.mollie.com
IZKLJUČENE VRSTE VARNOSTNIH TEŽAV
(D)DOS napadi
Težave, ki tvorijo self-XSS Napake brez občutljivih podatkov
Poročila, iz katerih se lahko analizira katero programsko opremo uporabljamo
Težave, ki zahtevajo uporabo močno zastarelih operacijskih sistemov, brskalnikov ali – zastarelih vtičnikov
Težave, ki so nam že znane
Ta politika je bila sestavljena na podlagi Smernice o odgovornem poročanju NCSC.