Denunciar una vulnerabilidad de seguridad
PROGRAMA DE DIVULGACIÓN DE VULNERABILIDADES DE NUVEI
Si usted cree haber descubierto una vulnerabilidad de seguridad en los productos o sitios web de Nuvei o de cualquiera de sus filiales, siga leyendo para saber cómo enviar un informe a nuestros equipos de seguridad para que lo investiguen.
Si bien apreciamos enormemente los informes de la comunidad sobre problemas de seguridad, por el momento Nuvei no ofrece compensación monetaria alguna por los informes de vulnerabilidad automatizados.
Los problemas o las vulnerabilidades de seguridad que se demuestre con éxito que comprometen la confidencialidad, integridad o disponibilidad de la información relativa a nuestros clientes y nuestros secretos pueden ser tenidos en cuenta para ser merecedores de una compensación.
Las vulnerabilidades reales o potenciales que descubra no pueden difundirse públicamente ni a ningún tercero.
REQUISITOS DE ELEGIBILIDAD
- Todas las vulnerabilidades deben ser descubrimientos nuevos y Nuvei no debe tener conocimiento previo de ellas.
- El remitente no debe residir en ningún país que figure en la lista de países sancionados de Canadá o de Estados Unidos.
PRUEBAS PROHIBIDAS
Las siguientes pruebas están prohibidas y serán objeto de notificación a las autoridades de orden público.
Pruebas automatizadas de cualquier tipo, entre las que se incluyen las siguientes:
- Fuerza bruta
- Inspecciones de SSL
- Escaneo ASV de terceros
- Negativa de servicio
No intente llevar adelante actividades posteriores a la explotación, entre las que se incluyen la modificación o destrucción de datos, ni la interrupción o el daño de los servicios de Nuvei.
No intente tomar como objetivo a empleados o clientes de Nuvei a través de métodos de ingeniería social, phishing ni ataques físicos.
FUERA DE ALCANCE
Entre las vulnerabilidades de seguridad que no califican se encuentran las siguientes:
- Ingeniería social, phishing
- Ataques físicos
- Ausencia de avisos de cookies
- Falsificación de contenido
- Rastreo de pila, divulgación de rutas, listados de directorio
- Posibilidad de creación de enlaces externos
- CSRF con implicancias de seguridad mínimas
- Aplicación de la seguridad del servidor del lado del cliente
- Falsificación de correos electrónicos
- Clickjacking en sitios web estáticos
- Configuraciones de prácticas recomendadas
- DOS/DDOS
- Configuración del registro SPF
- Política de contraseñas débiles
- Prácticas recomendadas de SSL/TLS