Política de Revelación de Vulnerabilidades

Informes de Problemas

Nos tomamos muy en serio los incidentes de seguridad. Si ha encontrado un exploit o una posible violación de seguridad, háganoslo saber. Envíe un correo electrónico a [email protected] con toda la información posible. Nuestro equipo se pondrá en contacto lo antes posible.

Programa de Selzy de Recompensas por Errores

Damos la bienvenida a los investigadores de seguridad que practican la divulgación responsable y cumplen nuestras políticas. El programa Selzy bug bounty ofrece un reconocimiento a estos investigadores y les recompensa por sus esfuerzos. Para poder optar a una recompensa en el marco de nuestro programa de recompensas por errores, debe cumplir las condiciones que se indican a continuación.

Reglas Básicas

Además de cumplir con nuestros Términos de Uso y cualquier otro término y condición aplicable, también debe seguir estas reglas básicas al participar en nuestro programa de recompensas por errores:

• No acceda (ni intente acceder) a la cuenta de ningún usuario ni a datos no públicos.
• No afecte ni dañe a otros usuarios (o su acceso o uso de nuestros servicios).
• No realice ningún ataque que pueda dañar la fiabilidad o integridad de nuestros servicios o datos. Por ejemplo, los ataques DDoS/spam están estrictamente prohibidos.
• No divulgue públicamente una vulnerabilidad antes de que la hayamos resuelto.
• No realice (ni intente) ataques no técnicos, incluidos spam, ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructura.

¿Qué tipo de informes no califican?

La siguiente es una lista no exhaustiva de informes que no califican para una recompensa en virtud de nuestro programa de recompensas por errores:

• Problemas relacionados con software o protocolos que no están bajo nuestro control, como dominios o aplicaciones que se parecen a Selzy, o que usan una de nuestras API, pero que Selzy no administra.
• Divulgación de información pública o información que en nuestra opinión no presente un riesgo significativo.
• Divulgación de identificadores y claves de clientes para conveniencia de los contribuyentes de código abierto.
• Divulgación de credenciales por parte de otras partes no afiliadas a Selzy.
• Bugs, como XSS, que sólo afectan a versiones heredadas de navegadores/plugins, bugs que requieren una actividad o interacción del usuario extremadamente improbable, o ataques de sincronización que prueban, por ejemplo, la existencia de un usuario.
• Cookies compartidas entre diferentes dominions de *.Selzy.com.
• Errores que ya se nos han informado (es decir, por orden de llegada) o errores de los que ya tenemos conocimiento.
• Secuencias de comandos u otra automatización y fuerza bruta de la funcionalidad prevista (todo esto está estrictamente prohibido).

Tenga en cuenta que, aunque nos complace recibir información sobre el incumplimiento de las mejores prácticas, estos problemas no son vulnerabilidades, a menos que afecten a la confidencialidad, la integridad y/o la disponibilidad. Del mismo modo, tales problemas no darán lugar a recompensas monetarias.

Recompensas

Podemos emitir recompensas monetarias por problemas informados que decidimos solucionar, con recompensas más altas por problemas de seguridad claramente creativos o graves. Los problemas que determinemos que son un riesgo insignificante o aceptado no serán elegibles para una recompensa. El importe de la recompensa se basará en la gravedad del problema y oscilará entre $25 y 5 500.
Tenga en cuenta que solo los informes enviados a [email protected] podrán optar a una recompensa en el marco de nuestro programa de recompensas por fallos.

Comprobación del Estado de Informes o Recompensas

Somos un equipo de desarrollo pequeño y muy ocupado, y recibimos muchos correos electrónicos. No nos envíe correos electrónicos múltiples o repetitivos con las mismas preguntas sobre los informes enviados o el estado de los posibles pagos de recompensas. Esto no acelerará el proceso y puede resultar en una respuesta más lenta debido a la carga adicional en nuestra bandeja de entrada. Agradecemos su paciencia.
Además, tenga en cuenta que la presentación repetida de asuntos de la lista de no calificados puede hacer que no reciba respuesta.

Algunos Términos Legales

Nuestro programa de recompensas por errores no es un concurso o competición. Es un programa de recompensas experimental y discrecional. Podemos modificar los términos de este programa o cancelarlo en cualquier momento sin previo aviso. Todas las decisiones en cuanto a la cantidad y el tipo de recompensas que se pueden emitir, el método de pago (para recompensas monetarias) y si cualquier problema informado constituye o no un riesgo significativo o es elegible para una recompensa, se determinarán a la entera discreción de Selzy en cada caso. Por lo general, enviamos recompensas monetarias a través de Paypal y solicitamos su nombre completo e información de contacto adecuada. Usted es responsable de cualquier repercusión fiscal de cualquier recompensa que reciba y debe cumplir todas las leyes fiscales aplicables a cualquier recompensa que podamos otorgarle. No podemos otorgar recompensas a personas que estén en listas de sanciones o que se encuentren en países (por ejemplo, Rusia, Cuba, Irán, Corea del Norte, Sudán o Siria) que estén en listas de sanciones. Debe cumplir con todas las leyes, normas y reglamentos locales, estatales, nacionales e internacionales aplicables en relación con su participación en este programa. Su participación en este programa no debe perturbar ni comprometer ningún dato que no le pertenezca.