セキュリティ脆弱性の報告

NUVEI 脆弱性情報公開プログラム

Nuveiまたはその子会社の製品またはウェブサイトにセキュリティの脆弱性を発見したと思われる場合は、当社のセキュリティチームにレポートを提出して調査する方法について読み進めてください。

私たちは、セキュリティ問題に関するコミュニティのレポートを非常に高く評価していますが、現時点では、Nuveiは、自動化された脆弱性レポートのための金銭的補償を提供していません。

当社の顧客および当社の秘密に関する情報の機密性、完全性、または可用性を侵害することを示すことに成功したセキュリティバグまたは脆弱性は、補償の対象となる可能性があります。

あなたが発見した脆弱性または潜在的な脆弱性は、いかなる第三者にも公開されることはありません。

可用性要件

• すべての脆弱性は新発見であり、以前にNuveiに知られていないものでなければならない。
• 提出者は、カナダおよび米国の制裁リストに掲載されている国に居住していないこと。

禁止試験

以下の検査は禁止されており、警察への通報の対象となる。

あらゆる種類の自動テスト：

• ブルート・フォース
• SSLラボのスキャン
• サードパーティASVスキャン
• サービス拒否

データの変更または破壊、およびNuveiサービスの中断または劣化を含む、事後搾取を実施しようとしないでください。

ソーシャルエンジニアリング、フィッシング、または物理的な攻撃の方法を使用して、Nuvei の従業員または顧客を標的にしようとしないでください。

対象外

非適格のセキュリティ脆弱性には以下が含まれるが、これらに限定されるものではない：

• ソーシャル・エンジニアリング、フィッシング
• フィジカル・アタック
• クッキー・フラグの欠落
• コンテンツ・スプーフィング
• スタックトレース、パス開示、ディレクトリリスト
• 外部リンクの作成機能
• セキュリティへの影響を最小限に抑えたCSRF。
• クライアントサイドによるサーバーサイドのセキュリティ強化
• なりすましメール
• 静的ウェブサイトでのクリックジャッキング
• グッド・プラクティス・セッティング
• DOS/ドス
• SPFレコードの設定
• 脆弱なパスワードポリシー
• SSL/TLSのベストプラクティス

‍