セキュリティの脆弱性を報告

NUVEI の脆弱性開示プログラム

Nuvei またはその子会社の製品またはウェブサイトでセキュリティの脆弱性を発見したと思われる場合は、続けてお読みになり、調査のためにセキュリティチームにレポートを送信する方法をご確認ください。

Nuvei はセキュリティの問題に関するコミュニティのレポートを非​​常に高く評価していますが、現時点では自動化された脆弱性レポートに対して金銭的な補償は提供していません。

当社のクライアントおよび機密に関連する情報の機密性、完全性、または可用性を侵害することが証明されたセキュリティのバグまたは脆弱性に関しては、補償の対象となる場合があります。

発見された脆弱性または潜在的な脆弱性を、公的または第三者に開示することはできません。

資格要件

• すべての脆弱性は新しく発見されたものであり、Nuvei がそれ以前に知らなかったものである必要があります。
• 提出者は、カナダまたは米国の制裁リストに記載されている国に居住していてはなりません。

禁止されているテスト

以下のテストは禁止されており、法執行機関への通知対象となります。

以下を含むがこれらに限定されない、あらゆる種類の自動テスト。

• ブルートフォース
• SSL Labs のスキャン
• サードパーティの ASV スキャン
• サービス妨害

データの変更や破壊、Nuvei のサービスの中断や低下などのポストエクスプロイト行為を実行しようとしないでください。

ソーシャルエンジニアリング、フィッシング、その他の物理的攻撃の方法を使用して、Nuvei の従業員や顧客をターゲットにしようとしないでください。

適用範囲外

不適格なセキュリティの脆弱性には次のようなものがありますが、これらに限定されません。

• ソーシャルエンジニアリング、フィッシング
• 物理的な攻撃
• Cookie フラグなし
• コンテンツのなりすまし
• スタック トレース、パス開示、ディレクトリのリスト
• 外部リンク作成能力
• セキュリティへの影響を最小限に抑えた CSRF
• クライアント側によるサーバー側セキュリティの強制
• メールのなりすまし
• 静的ウェブサイトでのクリックジャッキング
• グッドプラクティスの設定
• DOS/DDOS
• SPF レコードの設定
• 弱いパスワードのポリシー
• SSL/TLS のベストプラクティス

‍[1] https://www.trade.gov/country-commercial-guides/japan-ecommerce-0 [2] https://www.nuvei.com/jp/posts/nuvei-launches-in-japan. [3] https://www.researchandmarkets.com/reports/5987254/japan-online-retail-forecast-28