Märkus! Me ei maksa tasu isikutele, kelle suhtes on kehtestatud sanktsioone või kes on sanktsioonide nimekirjas olevates riikides (nt Kuuba, Iraan, Põhja-Korea, Sudaan, Süüria). Te vastutate mis tahes maksumõjude eest, mis võivad tuleneda teie elukohariigist või kodakondsusest. Kohalike seadustega võivad olla kehtestatud ka lisapiirangud programmis osalemisele.
Tegemist ei ole võistlusega, vaid eksperimentaalse ja vabatahtliku boonusprogrammiga. Juhime teie tähelepanu sellele, et meil on õigus programm igal ajal lõpetada.
Programmivigadest teatamise programm
Meie arendajad töötavad pidevalt selle nimel, et tagada klientide andmete turvalisus. Samal ajal väärtustame ka seda, millist rolli mängivad klientide andmete turvalisuse tagamisel valdkonna uurijad ja kasutajate kogukond. Kui te avastate haavatavad leheküljed või tooted, andke meile neist teada allpool esitatud juhiste kohaselt.
Programmivigadest teatamise programm
Programmi tingimused
Juhime teie tähelepanu sellele, et programmivigadest teatamise programmis osalemine on vabatahtlik ja sellele kehtivad siin lehel nimetatud tingimused. Payserale haavatavast veebilehest või tootest teada andes kinnitate, et olete tutvunud ja nõustute programmi tingimustega.
Programmi tingimused moodustavad ükskõik millise muu Payseraga sõlmitud lepingu lisa. Kui Paysera lepingute tingimuste ja nende programmi tingimuste vahel esinevad lahknevused, siis peetakse esmaseks neid programmi tingimusi, kuid üksnes programmivigadest teatamise programmi raames.
Turvaohtudest teatamise juhised
Kui arvate, et olete leidnud Paysera lehel turvaohu, andke sellest meile teada e-posti aadressil [email protected]. Lisage teatele tõrke taastamise üksikasjalikud sammud ja selle tõrke mõju lühikirjeldus. Toetame vastutustundlikku avalikustamist (vt allpool) ning lubame, et uurime kõiki seaduslikke teateid ja parandame kõik vead esimesel võimalusel.
Programmi tingimustega hõlmatud teenused
Kõik Paysera teenused, mille osutamisel töödeldakse tundlikke isikuandmeid, on nende tingimusega hõlmatud. See tähendab pea kogu sisu, mis on avaldatud järgmistel domeenidel: *.paysera.com
Vastutustundliku avalikustamise põhimõtted
Kasutajate rahaliste vahendite, andmete ja kommunikatsiooni turvalisus on Paysera jaoks väga oluline. Et toetada vastutustundlikku avalikustamist, ei ole meil kavas rakendada õiguslikke meetmeid rikete otsijate vastu, kes annavad meile probleemidest teada, tingimusel, et nad täidavad järgmisi vastutustundliku avalikustamise põhimõtteid, mis hõlmavad muu hulgas järgmist:
- Saage juurdepääs, kontrollige ja muutke üksnes oma klientide andmeid.
- Ärge pange toime rünnakut, mis võib kahjustada meie teenuste või andmete usaldusväärsust või terviklikkust.
- Vältige selliste skaneerimistehnikate kasutamist, mis võivad halvendada teenuste osutamist muudele klientidele (DoS, spämmi levitamine).
- Hoidke turvaohtudega seotud üksikasju saladuses seni, kuni Paysera't on neist teavitatud ja vead on parandatud.
- Ärge püüdke saada juurdepääsu muu kasutaja kontole või andmetele.
Paysera veebilehtede turvaohtude otsimiseks ei tohi kasutada meetodeid, mille tulemusel:
- võib Paysera süsteem halveneda;
- võite teie või kolmas isik saada juurdepääsu, salvestada, jagada või hävitada Paysera või klientide andmeid;
- võivad mõjutada saada Paysera kliendid, näiteks teenuse mitteosutamine, sotsiaalne manipuleerimine või spämm.
Kui te ei järgi siin esitatud põhimõtteid, siis on meil õigus teie konto peatada ja IP aadress blokeerida.
Palume teil olla kättesaadav ja esitada leitud tõrke kohta lisateavet ning kutsume teid üles tegema Paysera arendajatega koostööd tõrke taastamise, diagnoosimise ja parandamise küsimustes. Teadete põhjendatuse ja saadava tasu määramiseks kasutame järgmisi põhimõtteid.
Sobivus
Et osaleda programmivigadest teatamise programmis, ei tohi te:
- rikkuda ühtegi riiklikku ega kohalikku seadust ega muud õigusakti;
- olla otseses suguluses Paysera, selle tütarettevõtte või filiaali töötajaga;
- olla alla 14-aastane. Kui olete vähemalt 14-aastane, kuid teie elukohariigis peetakse teid alaealiseks, siis peab teil olema programmis osalemise luba, mille on allkirjastanud teie vanemad või seaduslik hooldaja.
Tasu suurus
Teateid tõsisemate vigade kohta tunnustatakse suurema tasuga. Olulise tähtsusega on kõik vead, mis võivad kaasa tuua finantskahju või isikuandmetega seotud rikkumised.
Vead, millest teatamise eest masktakse väiksemat tasu, on sellised, mis ei too kaasa üht või mitut järgmistest tagajärgedest:
Tasu saamiseks:
Kui samast veast teavitab Payserad kaks või enam isikut, siis jagatakse tasu nende vahel ära.
Esitame mõned näited selle kohta, kuidas saada suuremat tasu:
Vead, millest teatamise eest masktakse väiksemat tasu, on sellised, mis ei too kaasa üht või mitut järgmistest tagajärgedest:
- rahaliste vahendite osaline/täielik kadumine;
- kasutajaandmete leke;
- andmevahetuse täpsuse halvenemine.
Tasu saamiseks:
- peab turvaviga olema originaalne ja varem esitamata;
- peab turvaviga olema kaugjuhitav, tekitama privileegide eskaleerumise või põhjustama infolekke.
Kui samast veast teavitab Payserad kaks või enam isikut, siis jagatakse tasu nende vahel ära.
Esitame mõned näited selle kohta, kuidas saada suuremat tasu:
- Uurija võib näidata uusi rünnakuklasse või tehnikaid turvafunktsioonidest kõrvale hiilimiseks. Või kui uurija näitab, et olemasolevat viga saab kasutada täiendavate uuringute tegemiseks, siis on võimalik sama vea eest saada suuremat tasu.
- Veaotsingute käigus võivad välja tulla ka väga tõsised, keerukad või huvipakkuvad probleemivaldkonnad, millest varem ei teatud või ei olnud teavitatud.
Tasu programmivigadest teatamise eest määrab Paysera omal äranägemisel. Payseral ei ole ühelgi juhul kohustust maksta teile teate edastamise eest tasu. Kõik tasud makstakse üksnes eurodes Paysera identifitseeritud kontole. Tasu on võimalik saata ka sellistele organisatsioonidele nagu Greenpeace, Punane Rist ja Caritas.
Paysera ei maksa tasu krüptorahas ega muudesse maksesüsteemidesse, mida ei ole sellel lehel nimetatud.
Tasu suuruse määramisel arvestab Paysera vea ohutaset ja võimalikku mõju.
Vigade näited
Näited kriteeriumitele vastavate rikete kohta
Paysera jätab endale õiguse otsustada, kas vea tõsiduse miinimumkriteeriumid on täidetud ja kas sellisest veast on juba teatatud.
Paysera jätab endale õiguse otsustada, kas vea tõsiduse miinimumkriteeriumid on täidetud ja kas sellisest veast on juba teatatud.
- Autentimisest kõrvale hiilimine või privileegide eskaleerumine.
- Klõpsurööv (clickjacking).
- Murdskriptimine (XSS).
- Päringuvõltsingud (CSRF/XSRF).
- Segasisu skriptid.
- Koodi käitus serveri poolelt.
- Kasutaja andmetega seotud rikkumised.
- Koodi kaugkäitus.
Näited kriteeriumitele mittevastavate turvanõrkuste kohta
Järgmistest turvanõrkustest teatamine on teretulnud, kuid sellega ei kaasne süstemaatilist tasustamist Paysera poolt.
Järgmistest turvanõrkustest teatamine on teretulnud, kuid sellega ei kaasne süstemaatilist tasustamist Paysera poolt.
- Teenusetõkestus (DoS).
- Võimalused saata kahjurlinke tuttavatele inimestele.
- Turvaohud kolmandate poolte veebilehtedel, mis on integreeritud Paysera API-ga.
- Kolmandate poolte tarkvara (nt Java, pluginad, laiendused) või veebilehtedega seotud ohud, kui need ei ohusta Paysera lehti.
- Rämpspost (sh SPF/DKIM/DMARC-ga seotud ohud).
- Kasutamisega ja vormide automaatse täitmisega seotud ohud.
- Ebaturvalised sätted küpsiste failis.
- Brauseri vahemälu ohud.
- Turvanõrkused (sh XSS), mille puhul peab võimalik ohver installeerima ebastandardse tarkvara või tegema muid ebatõenäolisi toiminguid, et rünnaku mõju alla sattuda.
- Mittetehnilist laadi rünnakud, näiteks sotsiaalne manipuleerimine, andmepüük (phishing) või füüsiline rünne meie töötajate, kasutajate või taristu vastu.
- Turvanõrkused (sh XSS), mis võivad mõjutada üksnes vananenud brausereid/pluginaid.
- Self-XSS (murdskriptimine).
- CSRF ebaoluliste tegevuste puhul (väljalogimine jne).
- Klõpsuröövi rünnakud, kus puudub ohu tekitanud klõpsuseeria dokumenteerimine.
- Võltssisu esitamine, näiteks peegeldatud tekst või HTML-sildid.
- Puuduvad HTTP-päised, välja arvatud juhul, kui nende puudumine ei leevenda olemasolevat rünnakut.
- Autentimisest kõrvale hiilimine, mis nõuab juurdepääsu tarkvarale/riistvarale.
- Turvanõrkused, mille puhul on vaja juurdepääsu paroolidele, tõenditele või kohalikule süsteemile (nt seansikinnitus).
- Oletatavad ohud, mis tuginevad üksnes versiooninumbritele.
- Tõrked, mis eeldavad väga ebatõenäolist kasutaja sekkumist.
- Avaliku teabe ja sellise teabe, mis ei kujuta endast olulist ohtu, avalikustamine.
- Skripting ja muu automatiseerimine ning muude kavandatavate funktsioonide kindel forsseerimine.
- Päringud, mis rikuvad sama allika poliitikat (SOP) ilma konkreetse ründestsenaariumita (nt CORS-i kasutamise korral, kui küpsiseid ei kasutata autentimisel ega saadeta koos päringutega).
Nõutav teave
Koos teadetega palume esitada järgmised andmed:
Nimetatud andmete esitamata jätmise tõttu võidakse tasu maksmine edasi lükata või ära jätta.
Esitage andmed e-posti aadressile [email protected].
- Leitud turvaaugu täielik kirjeldus, sealhulgas selle ärakasutatavus ja mõju.
- Kõikide etappide dokumenteeritud kirjeldused, et oleks võimalik taastada turvaaugu ärakasutatavust.
- Mõjutatud URLid/rakendus(ed) (ka siis, kui esitasite meile koodikatkendi või video).
- Testimisel kasutatud IP-aadressid.
- Lisage alati kasutaja ID, mida kasutati kontaktpunktis.
- Lisage alati kõik failid, mida püüdsite üles laadida.
- Esitage oma teate täielik PoC.
- Salvestage kõik rünnaku logid ja lisage need teatele.
Nimetatud andmete esitamata jätmise tõttu võidakse tasu maksmine edasi lükata või ära jätta.
Esitage andmed e-posti aadressile [email protected].
Korduma kippuvad küsimused
Mida teha, kui olen leidnud turvaaugu, aga ei tea, kuidas seda ära kasutada?
Meie hinnangul on turvaaugu kontrollimine oluline samm süsteemi haavatavuse uurimisel ja loodame, et teated turvaaugu kohta sisaldavad toimivaid ründestsenaariume, et saaksime teile selle eest tasu maksta. Tasu suurus sõltub turvaaugu maksimaalsest mõjust, kuid komisjon on valmis uue teabe põhjal (nt veaahel või üle vaadatud ründestsenaarium) tasu suurust muutma.
Meie hinnangul on turvaaugu kontrollimine oluline samm süsteemi haavatavuse uurimisel ja loodame, et teated turvaaugu kohta sisaldavad toimivaid ründestsenaariume, et saaksime teile selle eest tasu maksta. Tasu suurus sõltub turvaaugu maksimaalsest mõjust, kuid komisjon on valmis uue teabe põhjal (nt veaahel või üle vaadatud ründestsenaarium) tasu suurust muutma.
Kuidas ma saan vea tõsidust näidata, kui ma ei tohi reegleid rikkuda?
Esitage oma aruanne kohe, kui olete avastanud võimaliku turvaprobleemi. Komisjon hindab selle maksimaalset mõju ja määrab selle kohaselt tasu. Meil on kombeks maksta suuremat tasu hästi koostatud ja kasulike teadete eest, isegi kui teate esitaja ei märganud või ei osanud täielikult analüüsida konkreetse vea täit mõju.
Esitage oma aruanne kohe, kui olete avastanud võimaliku turvaprobleemi. Komisjon hindab selle maksimaalset mõju ja määrab selle kohaselt tasu. Meil on kombeks maksta suuremat tasu hästi koostatud ja kasulike teadete eest, isegi kui teate esitaja ei märganud või ei osanud täielikult analüüsida konkreetse vea täit mõju.