Divulgation responsable

Conditions du programme de récompense
  • Pay. détermine la récompense en fonction du risque lié au problème de sécurité signalé. Veuillez noter que si le rapport ne constitue pas un problème de sécurité ou présente un risque faible, aucune récompense ne peut être attribuée.
  • Si des rapports doubles sont reçus sur un problème de sécurité spécifique, la récompense sera attribuée à la première personne à avoir signalé ce problème de sécurité. Pay. détermine s'il s'agit d'un double rapport et ne partage aucune donnée substantielle sur les rapports en question.
  • Une récompense n'est attribuée qu'à une seule personne.
  • Nous essayons d'accorder des récompenses égales pour des problèmes de sécurité similaires. Toutefois, les récompenses et les problèmes de sécurité éligibles peuvent changer. Les récompenses accordées par le passé ne garantissent pas des résultats similaires à l'avenir.

Qu'est-ce que vous ne pouvez pas signaler ?

Ce système de divulgation responsable n'est pas destiné à signaler des plaintes. Il n'est pas non plus destiné à

  • signaler que le site web n'est pas disponible
  • signaler une fraude
  • signaler de faux courriels (courriels d'hameçonnage).
  • signaler des virus.

Sites web hors du champ d'application

Nous utilisons des logiciels de tiers ; ces logiciels ne contiennent pas de données critiques et, dans certains cas, sont hébergés à l'extérieur. Notifications de sécurité pour les sites suivants :

Pour démontrer les différents systèmes de boutiques en ligne, des boutiques d'exemple sont créées sur le domaine : paywebshopdemo. nl

Tous les sous-domaines de l'URL paywebshopdemo.nl sont exclus de cette Divulgation Responsable (https://*********.paywebshopdemo.nl)

sont exclus du programme de divulgation responsable.

Que faisons-nous de votre notification ?
  • Après avoir reçu votre rapport, nous vous enverrons automatiquement un accusé de réception. Vous saurez ce que nous faisons de votre rapport dans les 3 jours ouvrables.
  • S'agit-il d'un problème de sécurité grave ? Dans ce cas, nous vous récompenserons de manière appropriée pour l'avoir signalé. Nous déterminons la récompense en fonction du risque et de l'impact du problème de sécurité. Elle peut aller d'un T-shirt à un montant en espèces via PayPal. Veuillez noter qu'il doit s'agir d'un problème de sécurité inconnu et grave.
  • Nous n'utilisons vos coordonnées que pour communiquer avec vous au sujet du rapport. Nous ne les communiquons pas à d'autres personnes. Sauf si la loi nous y oblige. Par exemple, si la justice nous le demande. Ou si nous considérons que votre action constitue une infraction pénale (c'est-à-dire que vous n'agissez pas de bonne foi) et que nous la signalons à la police.

Si vous avez fait une déclaration anonyme, nous ne pouvons pas vous tenir informé. Nous ne pouvons pas non plus vous offrir de récompense.

Comment signaler une vulnérabilité ?

Vous pouvez signaler une vulnérabilité découverte dans nos services à l'adressesecurity@pay.nl.

Règles du jeu

Nous vous demandons de partager le problème uniquement via security@pay.nl et de ne pas le rendre public. C'est ainsi que nous assurons la sécurité des données de nos clients. Veuillez nous laisser le temps de résoudre le problème.

Dans le cadre de votre enquête sur la vulnérabilité trouvée, vous ne devez pas endommager les applications. Vous ne devez pas partager les données avec d'autres personnes que les employés de Pay. En outre, le service ne doit jamais être interrompu intentionnellement par votre enquête.

Il se peut que vous fassiez quelque chose d'interdit par la loi dans le cadre de votre enquête. Si vous le faites de bonne foi, avec soin et conformément aux règles ci-dessous, nous ne vous dénoncerons pas.

Nous vous le demandons :
  • Dans votre rapport, indiquez clairement comment le problème de sécurité peut être exploité. Par exemple, utilisez des captures d'écran ou une explication étape par étape.
  • n'utilisez pas l'ingénierie sociale pour accéder à nos systèmes.
  • ne placez pas de porte dérobée dans un système d'information pour montrer la faiblesse.
  • ne faites que ce qui est strictement nécessaire pour démontrer la vulnérabilité.
  • ne copiez pas, ne modifiez pas et ne supprimez pas de données. Ne nous envoyez que les données (minimales) dont vous avez besoin pour démontrer le problème. Par exemple, faites une liste de répertoires ou une capture d'écran.
  • limitez les tentatives d'accès au système et ne partagez pas avec d'autres les données relatives à l'accès obtenu.
  • n'utilisez pas d'attaques dites "par force brute" pour pénétrer dans nos systèmes.
  • ne soumettre qu'un seul problème de sécurité par rapport.
  • répondre si nous avons besoin d'informations supplémentaires sur le rapport soumis.
Ne nous contactez jamais directement ou par des canaux autres que security@pay.nl.

Exceptions

Pay. peut, si la vulnérabilité présente un risque faible ou accepté, décider de ne pas récompenser un rapport. Voici quelques exemples de ces vulnérabilités :

  • Codes HTTP 404 ou autres codes non HTTP 200
  • Insertion de texte en clair dans les pages 404
  • Bannières de version sur les services publics
  • Fichiers et dossiers accessibles au public contenant des informations non sensibles
  • détournement de clics sur des pages sans fonction de connexion
  • Falsification des requêtes intersites (CSRF) sur des formulaires accessibles de manière anonyme
  • Absence de drapeaux "sécurisé"/"HTTP Only" sur les cookies non sensibles
  • Notifications relatives au certificat SSL (par exemple, chiffrement faible)
  • Utilisation de la méthode HTTP OPTIONS
  • Injection de l'en-tête de l'hôte
  • Absence d'en-têtes de sécurité HTTP
  • Signalement de versions obsolètes de logiciels (par exemple, jQuery) sans preuve de concept ou exploit fonctionnel
  • Notifications liées à Cloudflare
  • Tabnabbing
  • Meilleures pratiques

Vous avez découvert un problème de sécurité dans nos services ?

Faites-le nous savoir ! La sécurité des données de nos clients est très importante pour nous. C'est pourquoi nous nous efforçons constamment de maintenir la sécurité de nos services. Mais si quelque chose ne va pas, nous sommes heureux d'en être informés. De cette façon, nous travaillons ensemble pour améliorer la sécurité de nos données et de nos systèmes.

Que pouvez-vous signaler ?

Vous pouvez signaler des vulnérabilités dans nos services. En voici quelques exemples :

  • Vulnérabilités de type Cross-Site Scripting (XSS).
  • Les vulnérabilités liées à l'injection SQL.
  • Faiblesses dans la conception des connexions sécurisées.

Veuillez expliquer le problème que vous avez découvert de la manière la plus claire et la plus complète possible.