[English version below] CERT Orange Polska, w zgodzie z ogólnie przyjętymi zasadami społeczności hakerskiej oraz ograniczeniami zamieszczonymi poniżej zachęca do kontaktu w przypadku odnalezienia podatności w systemach/aplikacjach należących do Orange Polska, w szczególności utrzymywanych w domenie *.orange.pl. CERT Orange Polska pracuje nieprzerwanie nad zapewnieniem bezpieczeństwa klientom usług Orange Polska oraz danym, przetwarzanym w naszych systemach. Jednocześnie mamy świadomość, iż może mieć miejsce sytuacja, gdy na istniejącą podatność trafi osoba trzecia. Prosimy jednak – pamiętaj, że istotne jest przestrzeganie zasad Odpowiedzialnego Zgłaszania podatności (ang. Responsible Disclosure).

• Twoje działania nie mogą zniszczyć/uszkodzić danych Orange Polska, pracowników oraz klientów firmy
• Twoje aktywności nie mogą wpłynąć na pogorszenie jakości jakichkolwiek usług świadczonych Orange Polska i/lub zatrzymania ich świadczenia
• Jeśli w wyniku testowania uzyskasz nieautoryzowany dostęp do danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO) – natychmiast powstrzymaj się od dalszych działań, bezpowrotnie usuń uzyskane dane i skontaktuj się z CERT Orange Polska
• W przypadku uzyskania dostępu do kont klientów nie podejmuj przy ich użyciu aktywności związanych z zobowiązaniami finansowymi
• Przed upublicznieniem informacji o podatności zapewnij CERT Orange Polska odpowiedni czas na usunięcie podatności.

Jednocześnie, CERT Orange Polska absolutnie wyklucza z programu zgłaszania podatności informacje uzyskane w wyniku:

• Phishingu/socjotechniki
• Ataków DDoS
• Testów fizycznych

Przy zachowaniu powyższych CERT Orange Polska zobowiązuje się nie podejmować czynności prawnych pod adresem zgłaszającego, a także umieścić jego nazwisko lub pseudonim w sekcji Hall of Fame, dostępnej z głównej strony https://cert.orange.pl. CERT Orange Polska nie prowadzi programu Bug Bounty w rozumieniu płatności finansowej za zgłoszone podatności.

CERT Orange Polska, according to hacker community best practices and limitations stated below encourages to report vulnerabilities found in Orange Polska systems/applications, especially when maintained within *.orange.pl domain. CERT Orange Polska continuously works on security of Orange Polska customers’ as well as data processed within our systems. Still, we are aware that the situation might arise when the third party runs into an existing vulnerability. In such case, we kindly ask you to abide to below Responsible Disclosure rules:

• Your activities cannot destroy/damage data of Orange Polska, its employees and/or customers
• Your activities cannot deteriorate the quality or stop any of the services provided by Orange Polska
• If, during the tests, you gather an unauthorized access to personal data (as of Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (Data Protection Directive) ) – immediately stop further activities, irrevocably destroy gathered data and contact CERT Orange Polska
• If you gather an access to customers’ accounts under no circumstances use them to carry out any activities related to financial obligations
• Before going public with the information on the vulnerability assure that you’d given CERT Orange Polska enough time to patch it

Also, CERT Orange Polska definitely precludes from its vulnerability disclosure programme the informations gather by the following methods:

• Phishing/social engineeering
• DDoS attacks
• Physical test

Provided that the above are respected, CERT Orange Polska guarantees not to take legal actions against the declarant and publish – depending on their interest – their name of nickname at the Hall of Fame page accessible directly from https://cert.orange.pl website. CERT Orange Polska DOES NOT run the Bug Bounty programme in meaning of financial compensation for reported vulnerabilites.