•

Requisitos de elegibilidad
Para ser elegible, usted:
Debe aceptar y adherirse a las Reglas del Programa y a los términos legales establecidos en esta política.
Debe ser el primero en informar sobre el problema para poder optar a una recompensa.
Debe estar disponible para proporcionar información adicional, según lo requiera nuestro equipo, para reproducir y clasificar el problema.
No será elegible si es:
Residente de, o realiza su envío desde, un país contra el cual los Estados Unidos han emitido sanciones de exportación u otras restricciones comerciales (por ejemplo, Cuba, Irán, Corea del Norte, Sudán y Siria).
Infractor de cualquier ley o reglamento nacional, estatal o local.
Empleado de Yellow Card Financial.
Un familiar directo de una persona empleada por Yellow Card.
Reglas del programa
No dañe intencionadamente la experiencia o la utilidad del servicio para otros, incluyendo la degradación de los servicios y los ataques de denegación de servicio.
No intente ver, modificar ni dañar los datos que pertenezcan a otros.
No divulgue la vulnerabilidad reportada a otros sin nuestro permiso explícito.
No intente obtener acceso a la cuenta o a los datos de otro cliente.
No intente realizar ataques no técnicos, incluida cualquier forma de ingeniería social.
Objetivos elegibles
Portal de tesorería
Las pruebas se limitan únicamente a la superficie sin autenticar (por ejemplo, página de inicio de sesión, flujo de restablecimiento de contraseña, extremos HTTP públicos y configuración de TLS/encabezados). Los investigadores deben detenerse de inmediato e informar si obtienen o se topan con alguna sesión autenticada o datos de cuentas comerciales.
Lo que nos interesa
Exposiciones importantes en relación con la filtración de datos de clientes
Problemas que resulten en/conduzcan al compromiso total de un sistema
Elusión de la lógica de negocio que resulte en/conduzca a un impacto financiero o reputacional significativo
Elusión de los controles de autenticación y autorización
Fallo operativo grave (excluyendo los envíos relacionados con la denegación de servicio)
Exclusiones
Las siguientes vulnerabilidades no son elegibles para una recompensa:
Problemas ya conocidos por nosotros o informados anteriormente por otros
Problemas que hemos determinado que representan un riesgo aceptable
Informes que resulten de escaneos automáticos
Ataques que dependan de la ingeniería social de empleados, proveedores o clientes
Ataques de Denegación de Servicio a nivel de red
Ataques de denegación de billetera (Denial of wallet)
Denegación de Servicio de la aplicación mediante el bloqueo de cuentas de usuario
Ataques de fuerza bruta en nuestras páginas de registro, inicio de sesión o recuperación de contraseña
Políticas de aplicación para fuerza bruta, limitación de velocidad o bloqueo de cuentas
Ausencia de cabeceras de seguridad HTTP
Problemas con las cookies
Problemas relacionados con SSL
Ataques SSL como BEAST, BREACH, ataque de renegociación.
Clickjacking, sin detalles adicionales que demuestren una explotación específica.
Problemas de configuración de correo, incluidos los ajustes de SPF, DKIM, DMARC.
Uso de una biblioteca con vulnerabilidades conocidas
Vulnerabilidades en aplicaciones de terceros que no afecten directamente a nuestros datos o servicios
Vulnerabilidades causadas principalmente por defectos del navegador/complemento (plugin) y que no representan defectos en la seguridad de la plataforma de Yellow Card Financial
Navegadores y complementos (plugins) desactualizados
Mensajes de error descriptivos o cabeceras (por ejemplo, Stack Traces, banner grabbing)
Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
Cookies que carecen de la configuración HTTP Only o Secure para datos no sensibles
Los envíos que contengan problemas relacionados con la lista de exclusiones anterior no serán elegibles para recompensa.
Notificación de vulnerabilidades
Una vez que su informe esté listo, envíelo por correo electrónico a bugbounty@yellowcard.io
Reproducibilidad
Asegúrese de que su informe esté escrito claramente e incluya toda la información necesaria para que podamos clasificar y reproducir el fallo rápidamente.
Por favor incluya:
Su nombre y datos de contacto
Fecha y hora del descubrimiento
URL, donde corresponda
Tipo y descripción de la vulnerabilidad
Instrucciones detalladas paso a paso para reproducir el problema, incluyendo cualquier prueba de concepto o código de explotación para reproducirlo
Capturas de pantalla y/o videos que ilustren la vulnerabilidad
Los informes legítimos serán confirmados con una respuesta por correo electrónico. Haremos todo lo posible para evaluar rápidamente cada informe para determinar el riesgo general y abordar la causa raíz cuando se considere necesario.
Recompensas
Nuestras recompensas son flexibles, sin montos mínimos o máximos establecidos y se basan en última instancia en la gravedad de la vulnerabilidad identificada, clasificada de la siguiente manera:
Nivel 0 | Información |
Nivel 1 | Baja |
Nivel 2 | Media |
Nivel 3 | Alta |
Nivel 4 | Crítica |
Tenga en cuenta:
Solo se otorgará una recompensa por vulnerabilidad (incluyendo vulnerabilidades encadenadas)
En caso de que existan múltiples informes para la misma vulnerabilidad, solo la persona que ofrezca el primer informe claro que nos permita reproducir la vulnerabilidad recibirá una recompensa.
En caso de que se hayan ignorado las pautas del programa, Yellow Card se reserva el derecho de rechazar las solicitudes de recompensa de los participantes sin tener que proporcionar información adicional.
Confidencialidad
Cualquier información que reciba o recopile a través del Programa de Bug Bounty debe mantenerse confidencial y solo utilizarse en relación con el Programa de Bug Bounty.
No puede usar, divulgar ni distribuir dicha Información Confidencial, lo que incluye, entre otros, cualquier información sobre su Envío y la información que obtenga al investigar cualquiera de las aplicaciones comerciales de Yellow Card, ya sea dentro o fuera del alcance del programa, sin el consentimiento previo por escrito de Yellow Card.
Puerto Seguro
Yellow Card Financial apoya la investigación de seguridad de buena fe. Si realiza investigaciones de seguridad de acuerdo con esta política, no iniciaremos acciones legales contra usted. Este puerto seguro no se aplica a las actividades realizadas fuera del alcance definido, ni a los investigadores que violen cualquiera de las Reglas del Programa.
Violación de los Términos
Al participar en el programa de bug bounty de Yellow Card Financial, usted acepta esta política.
Yellow Card Financial tiene derecho a emprender acciones legales contra la persona que haya violado las reglas. Esa persona también será excluida de toda participación futura en el programa de bug bounty de Yellow Card.

