Responsible disclosure

 

Voorwaarden van het beloningsprogramma
  • Op basis van het risico van het gemelde beveiligingsprobleem stelt Pay. de beloning vast. Let op: indien de melding geen beveiligingsprobleem betreft of een laag risico vormt kan het zijn dat er geen beloning wordt toegekend.
  • Wanneer er dubbele meldingen worden ontvangen over een specifiek beveiligingsprobleem wordt de beloning toegekend aan de eerste persoon die dit beveiligingsprobleem rapporteert. Pay. stelt vast of er sprake is van een dubbele melding en deelt geen inhoudelijke gegevens over de desbetreffende meldingen.
  • Een toegekende beloning wordt slechts aan één persoon verstrekt.
  • We proberen gelijke beloningen toe te kennen voor vergelijkbare beveiligingsproblemen. De beloningen en de in aanmerking komende beveiligingsproblemen kunnen echter wijzigen. Toegekende beloningen uit het verleden bieden geen garantie voor vergelijkbare resultaten in de toekomst.

 

Wat kunt u niet melden?

Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Ook is de regeling niet bedoeld voor:

  • het melden dat de website niet beschikbaar is
  • het melden van fraude.
  • het melden van nep e-mails (phishing e-mails).
  • het melden van virussen.

 

Websites buiten scope

Wij maken gebruik van software van derden, deze software bevat geen kritische data en wordt in bepaalde gevallen extern gehost. Security meldingen voor onderstaande:

  • https://developer.pay.nl - technische documentatie
  • https://docs.pay.nl - informatiecentrum
  • https://support.pay.nl - ticketplatform
  • https://status.pay.nl - status pagina
  • https://www.pay.nl - Marketing website
  • https://werkenbijpay.nl - Sollicitatie website
  • https://shop.pay.nl - Webshop voor terminals (Shopify)

Ter demonstratie van verschillende webshopsystemen worden voorbeeldshop opgezet op het domein: paywebshopdemo.nl  

Alle subdomeinen op de URL paywebshopdemo.nl zijn uitgesloten op deze Responsible Disclose (https://*********.paywebshopdemo.nl)

 

Wat doen wij met uw melding?
  • Na ontvangst van uw melding, krijgt u van ons een automatische ontvangstbevestiging. U hoort binnen 3 werkdagen wat wij met uw melding doen
  • Is het een serieus beveiligingsprobleem? Dan krijgt u van ons als dank voor de melding een passende beloning. De beloning bepalen we op basis van het risico en de impact van het beveiligingsprobleem en kan variëren van een T-shirt tot maximaal een bedrag van 250 euro aan cadeaubonnen. Let op: het moet hier wel gaan om een onbekend en serieus beveiligingsprobleem.
  • Wij gebruiken uw contactgegevens alleen om met u over de melding te communiceren. Wij delen deze niet met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als wij uw actie zien als een strafbaar feit (u dus niet te goeder trouw handelt) en wij aangifte doen bij de politie.

Als u anoniem hebt gemeld, kunnen wij u niet op de hoogte houden. Ook kunnen wij u dan geen beloning geven.

 

Hoe kunt u melden?

Een ontdekte kwetsbaarheid in onze diensten kunt u melden via security@pay.nl.

Spelregels

Wij vragen u het probleem alleen via security@pay.nl te delen en het probleem niet openbaar te maken. Zo houden we de gegevens van onze klanten veilig. Fijn als u ons de tijd geeft het probleem op te lossen.

Bij uw onderzoek van de gevonden kwetsbaarheid mag u de applicaties niet beschadigen. U mag geen gegevens delen met anderen dan met medewerkers van Pay. Verder mag de dienstverlening nooit opzettelijk onderbroken worden door uw onderzoek.

Misschien doet u bij uw onderzoek iets wat volgens de wet niet mag. Als u daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels handelt, doen wij geen aangifte.

 

Wij vragen u:
  • bij de melding duidelijk te onderbouwen hoe het beveiligingsprobleem kan worden misbruikt. Maak hierbij bijvoorbeeld gebruik van screenshots of een stap-voor-stap uitleg.
  • geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
  • geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
  • alleen te doen wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen.
  • geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die u nodig heeft om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
  • pogingen om toegang tot het systeem te krijgen te beperken, en gegevens over verkregen toegang niet te delen met anderen.
  • geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen.
  • één beveiligingsprobleem per melding in te dienen.
  • te reageren indien wij extra informatie over de ingediende melding nodig hebben.
Neem nooit rechtstreeks of via andere kanalen dan via security@pay.nl contact met ons op.

 

Uitzonderingen

Pay. kan, indien het gaat om een kwetsbaarheid met een laag of geaccepteerd risico, besluiten een melding niet te belonen. Hieronder staan enkele voorbeelden van dergelijke kwetsbaarheden:

  • HTTP 404-codes of andere niet HTTP 200-codes
  • Toevoegen van platte tekst in 404-pagina’s
  • Versiebanners op publieke services
  • Publiek toegankelijke bestanden en mappen met niet-gevoelige informatie
  • Clickjacking op pagina’s zonder inlogfunctie
  • Cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn
  • Ontbreken van ‘secure’ / ‘HTTP Only’ vlaggen op niet-gevoelige cookies
  • Meldingen die te maken hebben met SSL certificaat (e.g. weak cipher)
  • Gebruik van de HTTP OPTIONS Method
  • Host Header Injection
  • Ontbreken van SPF, DKIM en DMARC records
  • Ontbreken van DNSSEC
  • Het onbreken van HTTP Security Headers
  • Het melden van verouderde versies van software (e.g. jQuery) zonder een proof of concept of werkende exploit
  • Meldingen die te maken hebben met Cloudflare
  • Tabnabbing
  • Best practices

 

Een beveiligingsprobleem ontdekt in onze diensten?

Laat het ons weten! Veiligheid van onze klantgegevens is voor ons heel belangrijk. Daarom werken wij voortdurend aan het veilig houden van onze diensten. Maar mocht er toch iets misgaan, dan worden wij hier graag van in kennis gesteld. Zo werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen.

Wat kunt u melden?

U kunt kwetsbaarheden in onze diensten melden. Voorbeelden zijn:

  • Cross-Site Scripting (XSS) kwetsbaarheden.
  • SQL injection kwetsbaarheden.
  • Zwakheden in inrichting beveiligde verbinding.

Wilt u het gevonden probleem zo duidelijk en compleet mogelijk toelichten?

 

Wij zijn ervan overtuigd dat reguliere mail encryptie voldoende privacy biedt om een kwetsbaarheid in een van onze systemen te melden. Mocht u het gevoel hebben dat uw melding PGP encryptie nodig heeft kunt u onze public key hieronder vinden.

Sleutel aangemaakt op 01-12-2022.

 

-----BEGIN PGP PUBLIC KEY BLOCK-----

mQINBGOIbyQBEADsAsWrdAAOll2YQEi/Lhq0ojddSnOXqpiVrtZWFrtFm8dRlByy
QpmE7htASHAMVjH4/5BOKwBl/vsT8aKTMuzPNnGNqltiMRNbZfm7FjyVreDH5sPH
S/nVRcuvSuJZNaFj6NLJHd4br8fyMmFOJCavuSQUSWam7SXhFHeI8C3IRBjK9irD
Uv9i5h9RJHtqVOLgrCgjin9F17JyxoeVDQ74APIiPsVF01QUEROfsMLaorVI8THP
ledbp0rZaGBO04ZXu0yO+XTm0foJFfd1CtEfYogroaeQ+Tqw8KpTmUdtuGOfOBf8
ihaDhlonL/3Lp5xUrvzg9pQGnWZyC5YkWSIn1XNSeChMrUc8verSl8Vdppe//VhO
620JadJKI2aWMYduzwVAhZ48bWi6+ukyjgR5LVhRzxT//p30GDXUUQ/2R/qDnAVc
DHuxSDyR9HkVmADcDa2j9VqAa76eeSFW6PyLXIktiLPf/cl39HhIDjpOBMzvY2wu
pIC2yoBW/m+/xM1n86g9CADtCiipLIq8mh9YmDfHM6cPg5MuxhcaXXcJ6XsKRgPO
2IvXfwTfSSkOkSx8DGPObe0dg1rMMJ9hZwo4L3KXBF3d1ypB4wWSg8F1v/j/s1gr
CE1Vr2D94lxSIQATiTzQ7eNVIDQzkg4dQ+evhM00VJbdecvwmkLoavvYMwARAQAB
tDFQQVkuU2VjdXJpdHkgKFBBWS5TZWN1cml0eSBHUEcpIDxzZWN1cml0eUBwYXku
bmw+iQJOBBMBCAA4FiEEQ0cXJnJmEVP0VDVNF49q6ZGb8iIFAmOIbyQCGwMFCwkI
BwIGFQoJCAsCBBYCAwECHgECF4AACgkQF49q6ZGb8iK7og//TyuhlloDQCppJ+/E
TDRwEGFeDCTB8gQdwMB3srPx8lqeCTNONKbJ0eM7Tm9ohkmQWlABG+03PdU6gnYF
fwPgAXR3CgnoJ6RophPYlJp2u0+xQc3UxfHRs2MyNzXN/lcezQH8MyYlIuN/GKna
JYWwcnOd/R4MxHCMbjcrXtAHK+3uLjuUytA6juP0DtYxg4BktAUa2wRMk2r949a5
Fv36D0DVkJgd+SwYmGa/Qlnglqy2B9paYNWVPYOLimsta+48kv6KDQ4qZk6WMhZZ
uHzbPeZOtJXut1p58XWuNjG7wt3fZm7jyilA1pd/5g0ngmun42Y7BW5lw6X2dAcU
jbzayvSGwrg0j63YWVhlQdxwwXiZLET9iI6JMQU9CA+qmS8gKyVnTmhps1LwXKTp
RgY76vXoLOTeDPbGE03W6EsbIi7C2kYVh0BpBPRz/nYJ+/0IBJdlxwVC1Yip0m6t
zAzxrO0FAtrsq7IRJ4AeqakD0h0YtqrC+5yhY1Gb9kn+DNJA6vB/H0+A6UgBaCWW
ciXIRV90ZehDQzrRMvQVKZmbItfRASYPnJ6sDOzvvKKg4HXnmuLNrZ/ockRBCM+h
ejUNXTWHaLoMspFyQsLBo9HKVcqbUxuxjrosCdslgxX5Tb60sN9QbhYMkNio2ymp
XfsPF4XFkG52+J58ZPNwU1tLB4S5Ag0EY4hvJAEQAMJU/L7HTMSEQBVIExt836s4
IjoGqUXlRW1vNtpqvIhQhchExdznv6WT5rw8rxGiB6RavhhhXqnRv+XfaypurnEO
vLSmkafneqoWNRO24QsEqniy9nhur8GNmDlR8LYpdjYP3our0zrZoRf+wc31zYDy
M/P+Rg18Y92HndwX3zMsPoruGhtmuiEQQJnklErhUSGle3IAKEVJ2h17Vs093vxv
Hzr1auebLnCoSr09HhBHw838vTekdi2aUJ77ZT1oafCpJxdmL9DKk7wk+j/IEdBe
YumUrtuDVMgXLtzUvC1Dn7ml3LoRSC7/WncvRkZr1TuF36mQrllcH2lwZ3t131Pc
c4g7gzzMhaZPWIBj82fxxxe6n6IPuco/xaPtirwDnI+NGd9OfzS8zgLpHJRCxXFf
ASb5P7ODgcPe3iXMO6XHc+CBENH5b2ap+m/PEcsEyvtP3q6EtlCGGiB1Usv2HZZK
VeADFSSsPH4L6jGQdZ8QcgvKGjj7Bch5Sxl6dDs0fCplCtZVTwJ6pmgEnUT9D1Wx
GLORxvyg7apom76wR+x3bWVWbsL6pQOU3rAsRP8vIlTciJp3DJe46g57ORxDBVRY
aUJcEHuYUMAkXt+wPYBSFHvja2L61HzBlSB5PKrFLbJzW+1AaN4G9lQhpDS5bpTE
ecvYrMvzFXV6tckc4h7RABEBAAGJAjYEGAEIACAWIQRDRxcmcmYRU/RUNU0Xj2rp
kZvyIgUCY4hvJAIbDAAKCRAXj2rpkZvyIkEVD/wP2FZpCVyhgTvaJJm2DD16Yyty
zyr352bxQGHuIUVO8u+1/M1zTTJq3VVBh2hNil07JYvpWLc8LgjJ64RIY3BhYu/6
PufUZ49mBR56xnYFLUsr+6Ob7Q5mA2prts1jun7CQN/6AnxKaPSVwdk9hIOat5VB
Q5gXyjRhOBHBYmF69smDhHCmItjI0dRKYvcgmipkqgCphgtB1d/4jC9uull4cOtn
tiAbflTfkCXQCqOPf/cRH6dFYaP8GMhZAM1dJ9JtiYzx4TfnFjeGXaQSmpTyOHXQ
641mpTMGwYgYUqDsuiO5IVZklhLbRjeseg2omBkPQ2p1lIphlvAoJM8iorbU4UyP
xgT+sQ+3vCuTgio6zqlOIwwt955e+l8MmY19gb6Mpgc+0YtOIl73hfV4YEhG30tc
O9WZWU/rCDf4ZEcQTuq6uCQZxDdmt+Mbe+5QXbFfrvTOgTnftf58lVgyPGk0IZov
34ABukqeby3Vjv3Qcsw+OB1MjOWb444AnaFYSmBXdIWOQ4EnSJsIXrlWL7eKU+yP
5cuBHxrkGcQJxH1cGx6RvU8capN8KWsesPKs9mLn7up98XKvc7pl/nch5Zgza+X9
hK0kVqxMK+/rdHYjNypUtMnDB/gD8HC3komxmCaTQF2drd7keYnY2CTMCdIYVL5z
+usNDz2TfuQBxr7TaQ==
=5frK
-----END PGP PUBLIC KEY BLOCK-----