报告安全漏洞

NUVEI 漏洞披露计划

如果您在 Nuvei 或其任何子公司的产品或网站中发现安全漏洞，请继续阅读以下内容，了解如何向我们的安全团队提交报告，以便其开展调查。

对于社区成员报告安全问题，Nuvei 深表感激，但目前不会对自动漏洞报告提供金钱补偿。

任何安全缺陷或漏洞，若能成功证明会危及与客户或公司机密信息的保密性、完整性或可用性，都可考虑给予赔偿。

不得将您发现的任何漏洞或潜在漏洞公开披露或告知任何第三方。

资格要求

• 所有漏洞必须为新发现，且之前不为 Nuvei 所知。
• 报告者不得居住在任何加拿大或美国制裁名单上的国家或地区。

禁止的测试类型

禁止以下测试，如果进行这些测试，将通知执法部门。

任何形式的自动化测试，包括但不限于：

• 暴力破解
• SSL Labs 扫描
• 第三方 ASV 扫描
• 拒绝服务攻击

不要试图进行后渗透测试，包括修改或破坏数据，以及中断或削弱 Nuvei 服务。

不得尝试使用社会工程学、网络钓鱼或物理攻击等方法，对 Nuvei 员工或客户实施攻击。

超出范围的安全漏洞

不符合条件的安全漏洞包括但不限于：

• 社会工程学、网络钓鱼
• 物理攻击
• Cookie 标志缺失
• 欺骗性内容
• 堆栈跟踪、路径泄露、目录列表
• 能够创建外部链接
• 安全影响最小的跨站请求伪造
• 在客户端执行服务器端的安全措施
• 电子邮件欺骗
• 静态网站上的点击劫持
• 良好实践设置
• 拒绝服务攻击/分布式拒绝服务攻击
• SPF 记录配置
• 弱密码策略
• SSL/TLS 最佳实践

‍