Programa Bug Bounty



Términos del Programa

Tenga en cuenta que su participación en el Programa Bug Bounty es voluntaria y está sujeta a los términos y condiciones establecidos en esta página. Al enviar una vulnerabilidad de sitio o producto a Paysera, usted reconoce que ha leído y aceptado estos Términos del programa.
Los Términos de este programa complementan los términos de cualquier otro acuerdo en el que haya ingresado con Paysera. Si hay alguna incoherencia entre los términos de los Acuerdos de Paysera y estos Términos del programa, estos Términos del programa tendrán el control, pero solo en lo que respecta al Programa Bug Bounty.

Pautas de informes de problemas de seguridad

Si cree que ha encontrado una vulnerabilidad de seguridad en Paysera, infórmenos por correo electrónico security@paysera.com. Por favor, incluya los pasos detallados para reproducir el error y una breve descripción de cuál es el impacto. Alentamos la divulgación responsable (como se describe a continuación), y prometemos investigar todos los informes legítimos de manera oportuna y solucionar cualquier problema lo antes posible.

Servicios al alcance

Cualquier servicio de Paysera que maneje datos de usuario razonablemente sensibles debe estar dentro del alcance. Esto incluye prácticamente todo el contenido en los siguientes dominios: * .paysera.com

Política de revelación responsable



La seguridad de los fondos, datos y comunicación de los usuarios es de suma importancia para Paysera. A fin de alentar la divulgación responsable, no emprenderemos acciones legales contra los investigadores que señalen un problema siempre que sigan los principios de divulgación responsable que incluyen, entre otros:

  • Solo acceda, exponga o modifique sus propios datos de cliente.
  • No realice ningún ataque que pueda dañar la fiabilidad o la integridad de nuestros servicios o datos.
  • Evite técnicas de escaneo que puedan causar la degradación del servicio a otros clientes. (DoS, spamming).
  • Mantenga siempre en secreto los detalles de las vulnerabilidades hasta que se haya notificado a Paysera y solucionado el problema.
  • No intente obtener acceso a la cuenta o datos de otro usuario.
  • No realice ningún ataque que pueda dañar la confiabilidad/integridad de nuestros servicios o datos. Los ataques de DoS/spam no están permitidos.

Al investigar vulnerabilidades en sitios de Paysera, no puede participar en pruebas que:

  • Produce una degradación de los sistemas de Paysera.
  • Resultados con los cuales usted o un tercero acceden, almacenan, comparten o destruyen Paysera o los datos de los clientes.
  • Resultados que pueden afectar a los clientes de Paysera, como denegación de servicio, ingeniería social o correo no deseado.

Podemos suspender su cuenta y prohibir su IP si no respeta estos principios.

Le pedimos que esté disponible para seguir y proporcionar más información sobre el error según sea necesario, y lo invitamos a trabajar junto con los ingenieros de Paysera para reproducir, diagnosticar y corregir dicho error. Para ser elegible para una recompensa, Paysera debe aceptar su envío como válido. Utilizamos las siguientes pautas para determinar la validez de las solicitudes y la compensación de recompensa que se ofrece.

#

Elegibilidad



#
Para ser elegible para el Programa Bug Bounty, usted no debe:
  • Infringir cualquier ley o regulación nacional, estatal o local.
  • Sea un familiar directo de una persona empleada por Paysera, o sus subsidiarias o afiliadas.
  • Tener menos de 14 años de edad. Si tiene al menos 14 años de edad, pero se considera menor de edad en su lugar de residencia, debe obtener el permiso de sus padres o tutores legales antes de participar en el programa.
Si Paysera descubre que usted no cumple con alguno de los criterios anteriores, Paysera lo eliminará del Programa Bug Bounty y lo descalificará para que no reciba ningún pago de recompensa.

importes de Recompensa



Los errores más severos se cumplirán con mayores recompensas. Cualquier error que tenga el potencial de pérdida financiera o brecha de datos es de suficiente gravedad.
En general, las vulnerabilidades que pueden llevar a recompensas menores son aquellas que no causan uno o varios de los siguientes resultados:
  • Pérdida de fondos parcial/completa.
  • Filtración de información de usuario.
  • Pérdida de precisión de los datos de intercambio.

Para recibir recompensas:
  • El error de seguridad debe ser original y no se ha notificado previamente.
  • El error de seguridad debe ser un exploit remoto, la causa de una escalada de privilegios o una filtración de información.

Si dos o más personas informan el error conjuntamente, la recompensa se dividirá entre ellos.
Aquí hay algunos ejemplos de cómo recibir una recompensa más alta:
  • El investigador puede demostrar nuevas clases de ataques o técnicas para eludir las funciones de seguridad. O bien, si se puede demostrar que una vulnerabilidad existente es explotable mediante investigaciones adicionales del informante, se puede obtener una compensación adicional por el mismo error.
  • La investigación también podría descubrir áreas con problemas extremadamente graves, complejos o interesantes que anteriormente no se denunciaban o que no se conocían.

Los pagos de recompensa, en su caso, serán determinados por Paysera, a exclusivo criterio de Paysera. En ningún caso Paysera estará obligado a pagarle una recompensa por ningún informe. Todos los pagos de recompensas se realizarán en euros. Todos los pagos de recompensas se solo se podrán realizar en euros a una cuenta identificada de Paysera, a cualquier otro banco o a monederos de Webmoney. La recompensa también puede transferirse a Greenpeace, la Cruz Roja y organizaciones Caritas.
Paysera no paga recompensas en criptomonedas u otros sistemas de pago, que no se mencionan en esta página.
Al determinar la cantidad de pago, Paysera tendrá en cuenta el nivel de riesgo y el impacto de la vulnerabilidad.

#

Ejemplos de vulnerabilidades



Ejemplos de vulnerabilidades aptas
Paysera se reserva el derecho de decidir si se cumple el umbral mínimo de gravedad para ser tenido en cuenta y si ya si ya se fue informado sobre ello con anterioridad.
  • Omisión de autenticación o escalada de privilegios.
  • Clickjacking.
  • Scripts de sitios cruzados (XSS).
  • Falsificación de solicitud entre sitios (CSRF/XSRF).
  • Scripts de contenido mixto.
  • Ejecución del código del lado del servidor.
  • Infracción de datos de usuario.
  • Ejecución remota de código.
Ejemplos de vulnerabilidades no aptas
Informar sobre las siguientes vulnerabilidades se agradece, pero no dará lugar a una recompensa sistemática de Paysera.
  • Vulnerabilidades de denegación de servicio (DoS).
  • Posibilidades de enviar enlaces maliciosos a personas que conoce.
  • Errores de seguridad en sitios web de terceros que se integran con Paysera API.
  • Vulnerabilidades relacionadas con software de terceros (por ejemplo, Java, complementos, extensiones) o sitios web a menos que generen vulnerabilidad en el sitio web de Paysera.
  • Spam (incluidos problemas relacionados con SPF/DKIM/DMARC).
  • Problemas de usabilidad, formularios autocompletados.
  • Configuraciones inseguras en cookies no sensibles.
  • Vulnerabilidades del caché del navegador.
  • Vulnerabilidades (incluido el XSS) que requieren que una víctima potencial instale un software no estándar o, de lo contrario, tome medidas muy poco probables para hacerse susceptible.
  • Ataques no técnicos como ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructura.
  • Vulnerabilidades (incluido XSS) que afectan solo a los navegadores/complementos heredados.
  • Self-XSS.
  • CSRF para acciones no significativas (cierre de sesión, etc.).
  • Ataques a través de click sin una serie documentada de clics que producen una vulnerabilidad.
  • Inyección de contenido, como texto reflejado o etiquetas HTML.
  • Faltan encabezados HTTP, excepto cuando su ausencia no mitiga un ataque existente.
  • Evasión de autenticación que requieren acceso a tokens de software/hardware.
  • Vulnerabilidades que requieren acceso a contraseñas, tokens o el sistema local (por ejemplo, fijación de sesión).
  • Supuestos vulnerabilidades basadas únicamente en los números de versión.
  • Errores que requieren una interacción del usuario muy poco probable.
  • Divulgación de información pública e información que no presenta riesgos significativos.
  • Creación de scripts u otra automatización y forzado bruto de la funcionalidad prevista.
  • Solicitudes que violen la política del mismo origen sin un escenario de ataque concreto (por ejemplo, al usar CORS y las cookies no se usen para realizar la autenticación o no se envían con las solicitudes)).

Información requerida



#
Para todas los informes presentados, incluya:
  • Descripción completa de la vulnerabilidad que se informa, incluida la capacidad de explotación y el impacto.
  • Documente todos los pasos necesarios para reproducir el exploit de la vulnerabilidad.
  • URL(s)/aplicación(es) afectadas en el envío (incluso si nos proporcionó un fragmento de código/video también).
  • IP que se usaron durante la prueba.
  • Incluya siempre el ID de usuario que se utiliza para el POC.
  • Incluya siempre todos los archivos que intentó cargar.
  • Proporcione el PoC completo para su presentación.
  • Guarde todos los registros de ataque y adjúntelos al envío.

La falta de inclusión de cualquiera de los elementos anteriores puede retrasar o poner en peligro el pago de recompensa.
Infórmenos enviándonos un correo electrónico a security@paysera.com.


¡Nota! No podemos emitir recompensas a las personas que figuran en listas de sanciones o que se encuentran en países (por ejemplo, Cuba, Irán, Corea del Norte, Sudán, Siria) en listas de sanciones. Usted es responsable de cualquier implicación fiscal dependiendo de su país de residencia y ciudadanía. Puede haber restricciones adicionales en su capacidad para ingresar dependiendo de su ley local.

Esto no es una competencia, sino un programa de recompensas experimental y discrecional. Debe comprender que podemos cancelar el programa en cualquier momento.

Preguntas frecuentes



¿Qué sucede si encuentro una vulnerabilidad, pero no sé cómo explotarla?
Esperamos que los informes de vulnerabilidad que se envíen tengan un escenario de ataque válido para calificar para una recompensa, y lo consideramos un paso crítico cuando realizamos una investigación de vulnerabilidad. Los importes de recompensa se deciden en función del impacto máximo de la vulnerabilidad, y el panel está dispuesto a reconsiderar una cantidad de recompensa, en función de nueva información (como una cadena de errores o un escenario de ataque revisado).
¿Cómo puedo demostrar la gravedad del error si no debo fisgonear?
Envíe su informe tan pronto como descubra un posible problema de seguridad. El panel considerará el impacto máximo y elegirá la recompensa en consecuencia. Rutinariamente pagamos recompensas más altas por informes útiles y bien redactados en las que el informante no se dio cuenta o no pudo analizar por completo el impacto de una falla en particular.