NUVEI 漏洞披露计划

如果您认为您在Nuvei或其任何子公司的产品或网站中发现了安全漏洞，请继续阅读如何向我们的安全团队提交报告进行调查。

虽然我们非常感谢社区对安全问题的报告，但目前Nuvei并没有为自动漏洞报告提供金钱补偿。

任何可以成功证明损害了与我们的客户和我们的秘密有关的信息的保密性、完整性或可用性的安全漏洞或缺陷，都可以考虑赔偿。

您发现的任何漏洞或潜在漏洞都不得公开或向任何第三方披露。

优越性要求

• 所有的漏洞都必须是新发现的，而且以前不为Nuvei所知。
• 提交人必须不居住在加拿大或美国制裁名单上的国家。

禁止测试

以下测试是被禁止的，并将被通知执法部门。

任何类型的自动测试，包括但不限于。

• 蛮力
• SSL实验室扫描
• 第三方ASV扫描
• 拒绝服务

不要试图进行后期开发，包括修改或破坏数据，以及中断或降低Nuvei服务。

不要试图使用社会工程、网络钓鱼或物理攻击的方法来针对Nuvei员工或客户。

超出范围

不符合条件的安全漏洞包括但不限于：。

• 社会工程，网络钓鱼
• 物理攻击
• 缺少的Cookie标志
• 内容欺骗
• 堆栈痕迹、路径披露、目录列表
• 创建外部链接的能力。
• CSRF，对安全影响最小。
• 客户端执行服务器端的安全
• 电子邮件欺骗
• 静态网站上的点击劫持行为
• 良好实践设置
• DOS/DDOS
• SPF记录的配置
• 薄弱的密码政策
• SSL/TLS最佳实践