Paysera

Programa de Recompensas por Errores

Nuestro equipo de desarrolladores trabaja continuamente para mantener segura la información de los clientes. Al mismo tiempo, entendemos el importante papel que desempeñan los investigadores de seguridad y nuestra comunidad de usuarios para ayudar a mantener la seguridad de los datos de los clientes. Si descubre una vulnerabilidad en un sitio web o producto, por favor, notifíquenoslo siguiendo las directrices que se indican a continuación.
#

Programa de recompensas por errores

Términos y condiciones del programa

Tenga en cuenta que su participación en el Programa de Recompensas por Errores es voluntaria y está sujeta a los términos y condiciones establecidos en esta página. Al enviar una vulnerabilidad de un sitio web o producto a Paysera, usted reconoce haber leído y aceptado los términos y condiciones de este Programa.
Estos términos y condiciones del Programa complementan los términos de cualquier otro acuerdo que usted haya celebrado con Paysera. En caso de inconsistencia entre los términos de los Acuerdos de Paysera y estos términos y condiciones del Programa, estos últimos prevalecerán únicamente con respecto al Programa de Recompensas por Errores.

Directrices para la notificación de problemas de seguridad

Si cree que ha encontrado una vulnerabilidad de seguridad en Paysera, por favor, notifíquenosla por correo electrónico a [email protected]. Incluya pasos detallados para reproducir el problema y una breve descripción de su posible impacto. Fomentamos la divulgación responsable (tal como se describe a continuación) y nos comprometemos a investigar todos los informes legítimos con prontitud, abordando cualquier problema confirmado tan pronto como sea posible.

Servicios dentro del alcance

Cualquier servicio de Paysera que procese datos de usuario razonablemente sensibles se considera dentro del alcance. Esto incluye, pero no se limita a, prácticamente todo el contenido bajo los siguientes dominios: *.paysera.com.

Política de divulgación responsable

La seguridad de los fondos, datos y comunicaciones de los usuarios es una prioridad máxima en Paysera. Para fomentar la divulgación responsable, no emprenderemos acciones legales contra los investigadores que identifiquen vulnerabilidades, siempre que se adhieran a los principios de divulgación responsable, que incluyen, entre otros, los siguientes:

 

 Solo acceda, divulgue o modifique sus propios datos de cliente.

 No realice ningún ataque que pueda dañar la fiabilidad o la integridad de nuestros servicios o datos.

 Evite las técnicas de escaneo que puedan causar una degradación del servicio para otros clientes (DoS, spamming).

 Mantenga siempre en secreto los detalles de las vulnerabilidades hasta que Paysera haya sido notificada y haya solucionado el problema.

 No intente obtener acceso a la cuenta o los datos de otro usuario.

 

Al investigar vulnerabilidades en el sitio web de Paysera, está estrictamente prohibido:

 

 Realizar acciones que puedan interrumpir o afectar el funcionamiento de los sistemas de Paysera;

 Intentar acceder, copiar, distribuir o destruir de forma ilegal los datos de Paysera o de sus clientes, ya sea de forma independiente o a través de terceros;

 Perjudicar a los clientes de Paysera, incluyendo la interrupción de la prestación del servicio, el uso de métodos de ingeniería social o el envío de mensajes no solicitados.

 

Si no cumple con estos principios, Paysera puede restringir su cuenta,bloquear su dirección IP y emprender otras acciones legales.
Le invitamos a trabajar junto a los desarrolladores de Paysera para reproducir, diagnosticar y solucionar el problema. Utilizamos las siguientes directrices para determinar la elegibilidad de las solicitudes y la cuantía de la recompensa.
#
#

Elegibilidad

Una persona no es elegible para participar en el Programa de Recompensas por Errores si:

 

 Ha violado cualquier ley nacional o local;

 Es un familiar cercano de un empleado de Paysera, sus subsidiarias o sucursales;

 Es menor de 14 años. Si tiene al menos 14 años, pero se le considera menor de edad en su lugar de residencia, debe obtener un permiso firmado por sus padres o tutores legales antes de participar en el Programa.
 

Si Paysera descubre que usted no cumple con alguno de los criterios anteriores, Paysera lo eliminará del Programa de Recompensas por Errores y lo descalificará para recibir cualquier pago de recompensa.

Cantidad de recompensa

Las recompensas se otorgan en función de la gravedad de la vulnerabilidad de seguridad. Cuanto más significativa sea la vulnerabilidad, mayor será la recompensa por notificarla. Las vulnerabilidades que podrían provocar pérdidas financieras o comprometer la seguridad de los datos se consideran particularmente críticas.

Se otorga una recompensa menor por las vulnerabilidades que no causan los siguientes resultados:

 Pérdida parcial o completa de fondos;

 Fuga de datos de usuario;

 Compromiso de la integridad de la transmisión de datos.

 En todos los casos, mantenga la información sobre las vulnerabilidades del sistema confidencial hasta que Paysera haya sido notificada y el problema se haya resuelto.

 No intente obtener acceso a la cuenta o los datos de otro usuario.

 

Para ser elegible para una recompensa, una vulnerabilidad de seguridad debe cumplir los siguientes criterios:

 Debe ser original y no haber sido reportada previamente;

 Debe demostrar una vulnerabilidad remota del sistema, el potencial de escalar privilegios o un riesgo de divulgación de información confidencial.

 

Si varias personas reportan la misma vulnerabilidad de seguridad al mismo tiempo, la recompensa se dividirá proporcionalmente entre ellas.
Se puede otorgar una recompensa mayor en los siguientes casos:

 El investigador puede demostrar nuevas clases de ataques o técnicas para eludir las funciones de seguridad. O, si se puede demostrar que una vulnerabilidad existente es explotable a través de investigación adicional por parte del informante, se puede obtener una compensación adicional por el mismo error.

 La investigación también podría descubrir áreas problemáticas extremadamente graves, complejas o interesantes que no se habían reportado o eran desconocidas anteriormente.


Si un informe cumple con todos los requisitos del Programa, Paysera determinará los pagos de recompensa, a su entera discreción. En ningún caso Paysera estará obligada a pagar una recompensa por informes que queden fuera del alcance del Programa de Recompensas por Errores. Todos los pagos de recompensa solo se pueden realizar en euros a una cuenta Paysera identificada. La recompensa también se puede transferir a las organizaciones Greenpeace, Cruz Roja o Caritas a petición del investigador. No se admiten pagos mediante criptomoneda u otros sistemas de pago no mencionados en esta página.

Al determinar la cuantía de la recompensa, Paysera evalúa el riesgo que plantea la vulnerabilidad de seguridad y el impacto potencial que puede tener.
#

Ejemplos de vulnerabilidades

Ejemplos de vulnerabilidades elegibles

Paysera se reserva el derecho de decidir si se cumple el umbral mínimo de calificación de gravedad y si ya ha sido reportada.

  • Omisión de autenticación o escalada de privilegios.

  • «Clickjacking» (cuando se engaña a un usuario para que haga clic en elementos ocultos o disfrazados de una página web).

  • «Cross-site scripting» (XSS) (una vulnerabilidad que permite la inyección de código adicional en una página web vista por los usuarios).

  • Falsificación de petición en sitios cruzados (CSRF/XSRF).

  • Scripts de contenido mixto.

  • Ejecución de código del lado del servidor.

  • Fuga de datos de usuario.

  • Ejecución remota de código.

Ejemplos de vulnerabilidades no elegibles

Se agradece la notificación de las siguientes vulnerabilidades, pero no dará lugar a una recompensa sistemática por parte de Paysera:

  • Vulnerabilidad de Denegación de Servicio (DoS) o problemas relacionados con la limitación de velocidad.

  • Posibilidad de enviar enlaces maliciosos a personas que usted conoce.

  • Fallos de seguridad en sitios web de terceros que se integran con la API de Paysera.

  • Vulnerabilidades relacionadas con software de terceros (por ejemplo, Java, complementos, extensiones) o sitios web, a menos que conduzcan a una vulnerabilidad en el sitio web de Paysera.

  • Spam (incluidos problemas relacionados con SPF/DKIM/DMARC).

  • Problemas de usabilidad, autocompletado de formularios.

  • Configuración insegura en cookies no sensibles.

  • Vulnerabilidades de caché del navegador.

  • Vulnerabilidades (incluido XSS) que requieren que una posible víctima instale software no estándar o tome medidas activas muy improbables para ser susceptible.

  • Ataques no técnicos como ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructura.

  • Vulnerabilidades (incluido XSS) que afectan solo a navegadores/complementos antiguos.

  • «Self-XSS» (cuando un usuario instala accidentalmente código malicioso en su propio sitio web).

  • CSRF para acciones no significativas (cerrar sesión, etc.).

  • Ataques de «Clickjacking» sin una serie documentada de clics que produzcan una vulnerabilidad.

  • Inyección de contenido, como texto reflejado o etiquetas HTML.

  • Falta de encabezados HTTP, excepto cuando su ausencia no mitigue un ataque existente.

  • Omisiones de autenticación que requieren acceso a software/hardware.

  • Vulnerabilidades que requieren acceso a contraseñas, tokens o al sistema local (por ejemplo, fijación de sesión).

  • Vulnerabilidades asumidas basándose únicamente en números de versión.

  • Errores que requieren una interacción del usuario extremadamente improbable.

  • Divulgación de información pública e información que no presenta un riesgo significativo.

  • Scripts u otra automatización y fuerza bruta de funcionalidades previstas.

  • Solicitudes que violan la política del mismo origen sin un escenario de ataque concreto (por ejemplo, al usar CORS, y las cookies no se utilizan para realizar la autenticación o no se envían con las solicitudes).

#

Información requerida

Al enviar información sobre una vulnerabilidad de seguridad, por favor, proporcione:

 

 Una descripción completa de la vulnerabilidad reportada, incluyendo su explotabilidad e impacto.

 Documente todos los pasos necesarios para reproducir la explotación de la vulnerabilidad.

 Las URL(s)/aplicación(es) afectadas (incluso si también nos proporcionó un fragmento de código/vídeo).

 Las direcciones IP que se utilizaron durante las pruebas.

 Incluya siempre el ID de usuario que se utiliza para la PoC (Prueba de Concepto).

 Incluya siempre todos los archivos que intentó cargar.

 Proporcione la PoC completa.

 Guarde todos los registros del ataque y adjúntelos al informe.


La omisión de cualquiera de los elementos requeridos puede resultar en la retención o el retraso del pago de la recompensa.
Reporte cualquier vulnerabilidad a través del correo electrónico [email protected].
#

Nota!

No se pueden otorgar recompensas a personas sancionadas ni a ciudadanos de países que figuran en la lista de sanciones (Cuba, Irán, Corea del Norte, Sudán, Siria). Usted es responsable de cualquier impuesto aplicable según su país de residencia y ciudadanía. Las leyes locales pueden imponer restricciones adicionales que podrían impedirle participar en el Programa.

 

Este Programa no es una competición, sino una iniciativa de recompensa experimental y discrecional. Tenga en cuenta que Paysera puede dar por terminado el Programa en cualquier momento.

Preguntas frecuentes

Consideramos que las pruebas de vulnerabilidad son una parte vital de la investigación de seguridad y esperamos que los informes presentados incluyan un escenario de ataque creíble para que puedan ser considerados para una recompensa. El monto de la recompensa se determina según el impacto potencial máximo de la vulnerabilidad. El panel de revisión puede revisar la recompensa si surge nueva información que aumente significativamente el impacto evaluado (como una cadena de errores o un escenario de ataque revisado).
Envíe su informe en cuanto descubra un posible problema de seguridad. El panel considerará el impacto máximo y asignará la recompensa correspondiente. Regularmente ofrecemos recompensas más altas por informes bien redactados y útiles, en los que el reportero no detectó o no pudo analizar completamente el impacto de una falla específica.
Become a follower