Verantwortungsvolle Offenlegung

Bedingungen für das Prämienprogramm
  • Pay. bestimmt die Prämie auf der Grundlage des Risikos des gemeldeten Sicherheitsproblems. Wenn es sich bei der Meldung nicht um ein Sicherheitsproblem oder ein geringes Risiko handelt, kann keine Prämie gewährt werden.
  • Wenn zu einem bestimmten Sicherheitsproblem mehrere Meldungen eingehen, wird die Prämie an die erste Person vergeben, die dieses Sicherheitsproblem meldet. Pay. stellt fest, ob es sich um eine doppelte Meldung handelt und gibt keine wesentlichen Daten zu den betreffenden Meldungen weiter.
  • Eine vergebene Belohnung wird nur an eine Person vergeben.
  • Wir versuchen, gleiche Belohnungen für ähnliche Sicherheitsprobleme zu vergeben. Die Belohnungen und die in Frage kommenden Sicherheitsprobleme können sich jedoch ändern. In der Vergangenheit gewährte Belohnungen sind keine Garantie für ähnliche Ergebnisse in der Zukunft.

Was können Sie nicht melden?

Dieses System der verantwortungsvollen Offenlegung ist nicht für die Meldung von Beschwerden gedacht. Es ist auch nicht vorgesehen für:

  • die Meldung, dass die Website nicht verfügbar ist
  • die Meldung von Betrug.
  • das Melden von gefälschten E-Mails (Phishing-E-Mails).
  • die Meldung von Viren.

Websites außerhalb des Geltungsbereichs

Wir verwenden Software von Drittanbietern, diese Software enthält keine kritischen Daten und wird in einigen Fällen extern gehostet. Sicherheitshinweise für Folgendes:

Um verschiedene Webshop-Systeme zu demonstrieren, werden Beispiel-Shops auf der Domain paywebshopdemo. nl eingerichtet

Alle Subdomains auf der URL paywebshopdemo.nl sind von dieser verantwortlichen Offenlegung ausgeschlossen (https://*********.paywebshopdemo.nl)

sind von dem Programm zur verantwortungsvollen Offenlegung ausgeschlossen.

Wie gehen wir mit Ihrer Meldung um?
  • Nachdem wir Ihre Meldung erhalten haben, senden wir Ihnen eine automatische Empfangsbestätigung. Sie erfahren innerhalb von 3 Arbeitstagen, was wir mit Ihrer Meldung machen.
  • Handelt es sich um ein schwerwiegendes Sicherheitsproblem? Dann werden wir Sie für Ihre Meldung angemessen belohnen. Die Höhe der Belohnung richtet sich nach dem Risiko und den Auswirkungen des Sicherheitsproblems und kann von einem T-Shirt bis zu einer PayPal-Zahlung reichen. Bitte beachten Sie, dass es sich um ein unbekanntes und schwerwiegendes Sicherheitsproblem handeln muss.
  • Wir verwenden Ihre Kontaktinformationen nur, um mit Ihnen über die Meldung zu kommunizieren. Wir geben sie nicht an andere weiter. Es sei denn, wir sind per Gesetz dazu verpflichtet. Zum Beispiel, wenn die Justiz uns dazu auffordert. Oder wenn wir Ihr Vorgehen als Straftat ansehen (d. h. Sie handeln nicht in gutem Glauben) und wir es der Polizei melden.

Wenn Sie eine anonyme Meldung gemacht haben, können wir Sie nicht auf dem Laufenden halten. Auch können wir Ihnen keine Belohnung anbieten.

Wie meldet man?

Sie können eine entdeckte Sicherheitslücke in unseren Diensten untersecurity@pay.nl melden.

Regeln für das Spiel

Wir bitten Sie, das Problem nur über security@pay.nl zu melden und es nicht öffentlich zu machen. Auf diese Weise können wir die Daten unserer Kunden schützen. Bitte geben Sie uns Zeit, das Problem zu lösen.

Bei Ihrer Untersuchung der gefundenen Schwachstelle dürfen Sie die Anwendungen nicht beschädigen. Sie dürfen keine Daten an andere Personen als die Mitarbeiter von Pay weitergeben. Außerdem darf der Dienst durch Ihre Untersuchung niemals absichtlich unterbrochen werden.

Es kann sein, dass Sie bei Ihrer Untersuchung etwas tun, was gesetzlich verboten ist. Wenn Sie dies in gutem Glauben, sorgfältig und in Übereinstimmung mit den nachstehenden Regeln tun, werden wir Sie nicht melden.

Wir fragen Sie:
  • Legen Sie bei der Meldung klar dar, wie das Sicherheitsproblem ausgenutzt werden kann. Verwenden Sie zum Beispiel Screenshots oder eine schrittweise Erklärung.
  • Verwenden Sie kein Social Engineering, um Zugang zu unseren Systemen zu erhalten.
  • Bauen Sie keine Hintertür in ein Informationssystem ein, um die Schwachstelle aufzuzeigen.
  • tun Sie nur das Nötigste, um die Schwachstelle zu demonstrieren.
  • Kopieren, verändern oder löschen Sie keine Daten. Senden Sie uns nur (minimale) Daten, die Sie benötigen, um das Problem zu demonstrieren. Machen Sie zum Beispiel eine Verzeichnisliste oder einen Screenshot.
  • Begrenzen Sie die Versuche, sich Zugang zum System zu verschaffen, und geben Sie die Daten über den erlangten Zugang nicht an andere weiter.
  • Verwenden Sie keine so genannten "Bruteforce-Angriffe", um in unsere Systeme einzudringen.
  • ein Sicherheitsproblem pro Bericht einreichen.
  • reagieren Sie, wenn wir zusätzliche Informationen zu dem eingereichten Bericht benötigen.
Kontaktieren Sie uns niemals direkt oder über andere Kanäle als security@pay.nl.

Ausnahmen

Pay. kann beschließen, eine Meldung nicht zu belohnen, wenn die Schwachstelle ein geringes oder akzeptiertes Risiko darstellt. Im Folgenden finden Sie einige Beispiele für solche Schwachstellen:

  • HTTP 404 Codes oder andere nicht HTTP 200 Codes
  • Einfügung von Klartext in 404-Seiten
  • Versionsbanner auf öffentlichen Diensten
  • Öffentlich zugängliche Dateien und Ordner, die nicht sensible Informationen enthalten
  • Clickjacking auf Seiten ohne Login-Funktion
  • Cross-Site Request Forgery (CSRF) auf Formularen, auf die anonym zugegriffen werden kann
  • Fehlen der Kennzeichnung "sicher"/"nur HTTP" bei nicht sensiblen Cookies
  • Meldungen in Bezug auf das SSL-Zertifikat (z. B. schwache Chiffre)
  • Verwendung der HTTP-OPTIONS-Methode
  • Host Header Injection
  • Fehlen von HTTP Security Headern
  • Meldung veralteter Versionen von Software (z. B. jQuery) ohne Konzeptnachweis oder funktionierenden Exploit
  • Benachrichtigungen im Zusammenhang mit Cloudflare
  • Tabnabbing
  • Bewährte Praktiken

Haben Sie ein Sicherheitsproblem in unseren Diensten entdeckt?

Teilen Sie es uns mit! Die Sicherheit der Daten unserer Kunden ist für uns sehr wichtig. Deshalb arbeiten wir ständig daran, unsere Dienste sicher zu halten. Sollte dennoch einmal etwas schief gehen, freuen wir uns über einen Hinweis. Auf diese Weise arbeiten wir gemeinsam daran, die Sicherheit unserer Daten und Systeme zu verbessern.

Was können Sie melden?

Sie können Schwachstellen in unseren Diensten melden. Beispiele hierfür sind:

  • Cross-Site Scripting (XSS)-Schwachstellen.
  • SQL-Injection-Schwachstellen.
  • Schwachstellen im sicheren Verbindungsdesign.

Bitte erläutern Sie das von Ihnen gefundene Problem so klar und vollständig wie möglich.