セキュリティ脆弱性の報告
NUVEI 脆弱性情報公開プログラム
Nuveiまたはその子会社の製品またはウェブサイトにセキュリティの脆弱性を発見したと思われる場合は、当社のセキュリティチームにレポートを提出して調査する方法について読み進めてください。
私たちは、セキュリティ問題に関するコミュニティのレポートを非常に高く評価していますが、現時点では、Nuveiは、自動化された脆弱性レポートのための金銭的補償を提供していません。
当社の顧客および当社の秘密に関する情報の機密性、完全性、または可用性を侵害することを示すことができるセキュリティバグまたは脆弱性は、補償の対象となる可能性があります。
発見された脆弱性または潜在的な脆弱性を、公的または第三者に開示することはできません。
資格要件
- すべての脆弱性は新発見であり、以前にNuveiに知られていないものでなければならない。
- 提出者は、カナダまたは米国の制裁リストに記載されている国に居住していてはなりません。
禁止されているテスト
以下の検査は禁止されており、警察への通報の対象となる。
以下を含むがこれらに限定されない、あらゆる種類の自動テスト。
- ブルート・フォース
- SSLラボのスキャン
- サードパーティの ASV スキャン
- サービス拒否
データの変更や破壊、Nuvei のサービスの中断や低下などのポストエクスプロイト行為を実行しようとしないでください。
ソーシャルエンジニアリング、フィッシング、または物理的な攻撃の方法を使用して、Nuvei の従業員または顧客を標的にしようとしないでください。
適用範囲外
非適格のセキュリティ脆弱性には以下が含まれるが、これらに限定されるものではない:
- ソーシャル・エンジニアリング、フィッシング
- 物理的な攻撃
- クッキー・フラグの欠落
- コンテンツ・スプーフィング
- スタックトレース、パス開示、ディレクトリリスト
- 外部リンク作成能力
- セキュリティへの影響を最小限に抑えたCSRF。
- クライアント側によるサーバー側セキュリティの強制
- メールのなりすまし
- 静的ウェブサイトでのクリックジャッキング
- グッド・プラクティス・セッティング
- DOS/ドス
- SPFレコードの設定
- 脆弱なパスワードポリシー
- SSL/TLSのベストプラクティス
.svg)
