Responsible Disclosure Policy Hero

PayU Responsible Disclosure Policy

English

PayU Payments

PayU takes the security of our systems and our data very seriously. We are continuously striving to maintain and ensure that our environment is safe and secure for everyone to use. If you’ve discovered any security vulnerabilities associated with any of our PayU services, we do appreciate your help in disclosing it to us in a responsible manner. 

Responsible Disclosure Policy

PayU will engage with you as external security researchers (the Researcher) when vulnerabilities are reported to us in accordance with this Responsible Disclosure Policy. 
If a Researcher follows the rules set out in this Responsible Disclosure Policy when reporting a security vulnerability to us, unless prescribed otherwise by law or the payment scheme rules, we commit to:

  • promptly acknowledging receipt of your vulnerability report and work with the researcher to understand and attempt to resolve the issue quickly;
  • validating, responding and fixing such vulnerability in accordance with our commitment to security and privacy. We will notify you when the issue is fixed; 
  • unless prescribed by law otherwise, not pursue or take legal action against you or the person who reported such security vulnerabilities;
  • not suspend or terminate access to our service(s) if you are a merchant. If you are an agent, not suspend or terminate merchants’ access to our services to which the agent represents;
  • publicly acknowledge and recognize your responsible disclosure in our Hall of Fame page.

 

In Scope of this Policy

Any of the PayU services, iOS or Android-based apps, which process, store, transfer or use in one way or personal or sensitive personal information, such as card data and authentication data.
In particular, Web service vulnerabilities are classified using OWASP Top-10. Mobile application vulnerabilities are classified using OWASP Mobile Top-10.

Out of Scope

Any services hosted by 3rd party providers and services not provided by PayU.

Testing

A Researcher can test only against a merchant account if they are an account owner or an agent authorized by the account owner to conduct such testing. 
As a Researcher, in no event are you permitted to access, download or modify data residing in any other account or that does not belong to you or attempt to do any such activities.

In the interest of the safety of our merchants, users, employees, the Internet at large and you as a Researcher, the following test types are expressly excluded from scope and testing: any findings from physical testing (office access, tailgating, open doors) or DOS or DDOS vulnerabilities. A responsible disclosure also does not include identifying any spelling mistakes, or any UI and UX bugs…

The rules

We require that all Researchers must:

  • Make every effort to avoid privacy violations, degradation of user or merchant experience, disruption to production systems, and destruction of data during security testing.
  • Not attempt to gain access to any other persons account, data or personal information.
  • Use the identified email address to report any vulnerability information to us.
  • Keep information about any vulnerabilities you’ve discovered confidential between yourself and PayU. PayU will take a reasonable time to remedy such vulnerability (approximately 3 months as a minimum but this is dependent on the nature of the security vulnerability and regulatory compliance by PayU). The Researcher shall not publicly disclose the bug or vulnerability on any online or physical platform before it is fixed and prior written approval to publicly disclose from PayU.
  • Not perform any attack that could harm the reliability, integrity and capacity of our Services. DDoS/spam attached not allowed;
  • Not use scanners or automated tools to find vulnerabilities (noisy and we may automatically suspend your account and ban your IP address)
  • As a Researcher, you represent and warrant that you have the right, title and interest to disclose any vulnerability found and to submit any information, including documents, codes, among others, in connection therewith. Once you inform a vulnerability, you grant PayU, its subsidiaries and affiliates an irrevocable, worldwide, royalty-free, transferrable, sublicensable right to use in any way PayU deems appropriate for any purpose, such as: reproduction, modification, distribution, adaptation among other uses, the information related with the vulnerabilities. Further, you hereby waive all other claims of any nature, including express contract, implied-in-fact contract, or quasi-contract, arising out of any disclosure accepted by PayU.

Remember that you must never attempt non-technical attacks such as social engineering, phishing, or physical attacks against our employees, users, or infrastructure.

Please include the following information with your report:

  • detailed description of the steps required to help us reproduce the vulnerability (POC scripts, screenshots, and compressed screen captures are all helpful to us); and
  • Your email address.

 

Recognition – Hall of Fame Page

  • By helping PayU continuously keep our data secure, once the security vulnerability is verified and fixed as a result of report, we would like to put your name on our Hall of Fame page.
  • Of course, we will need to know if you want the recognition, in which case you will be required to give us your name and Twitter handle as you wish it to be displayed on our Hall of Fame page.

 

We do not offer any monetary compensation, only fame, glory recognition and our appreciation.

Requests or demands for monetary compensation in connection with any identified or alleged vulnerability are non-compliant with this Responsible Disclosure Policy. 

Hall of Fame

PayU thanks the following individuals and organizations that have identified security vulnerabilities in accordance with this Responsible Disclosure Policy.

Indemnification

Researcher shall fully indemnify, hold harmless and defend (collectively “indemnify” and “indemnification”) PayU, its subsidiaries and affiliates, its directors, officers, employees, agents, and stockholders (collectively, “Indemnified Parties”) from and against all claims, demands, actions, suits, damages, liabilities, losses, settlements, judgments, costs and expenses (including but not limited to reasonable attorney’s fees and costs), whether or not involving a third party claim, which arise out of or relate to (1) any breach of any representation or warranty contained in this Responsible Disclosure Policy made by the researcher, (2) any breach or violation of the terms of this Responsible Disclosure Policy or any obligation or duty of the Researcher referred therein or under applicable law, (3) any breach of the confidentiality, (4) any misuse of data, including personal data, (5) any breach of any waiver granted, (6) any attempt to contact PayU’s clients, users or third parties to inform the existence of the vulnerability. It includes any reference or message in social media making reference to the finding (7) any attempt to bring direct or indirectly claims, lawsuits, demands, actions judgments against PayU or any other Indemnified Party, in each case whether or not caused by the negligence of PayU or any other Indemnified Party and whether or not the relevant claim has merit.

Domains

*.payu.co.za

*.payu.com.ng

*.payu.co.ke

*.payu.pl

*.payu.com

*.payu.com.tr

*.payu.ro

*.payu.ru

*.payubiz.in

*.payumoney.com

*.lazypay.com

*.pagosonline.com

*.pagosonline.net

*.dineromail.com

*.bcash.com.br

*.fcontrol.com.br

*.payulatam.com

*.fraudvault.com

 

Contact us

security@payu.com

 

Español

PayU Payments

PayU toma muy en serio la seguridad de nuestros sistemas y nuestros datos. Nos esforzamos continuamente en mantener y garantizar que nuestro entorno sea seguro para que todos lo usen. Si ha descubierto alguna vulnerabilidad en la seguridad asociada con cualquiera de nuestros servicios de PayU, le agradeceríamos su ayuda en revelarla de manera responsable. 

Política de divulgación responsable

Cuando se nos reportan vulnerabilidades de acuerdo con esta Política de divulgación responsable, PayU se relacionará con usted como investigador externo de seguridad (el Investigador). 
Salvo que la ley o las reglas del sistema de pagos estipulen lo contrario, si un Investigador sigue las reglas establecidas en esta Política de Divulgación Responsable al reportar una vulnerabilidad de seguridad, nos comprometemos a:

  • Reconocer inmediatamente el recibo de su reporte de vulnerabilidad y trabajar con el Investigador para comprender e intentar resolver el problema de manera rápida;
  • Validar, atender y resolver cualquier vulnerabilidad de acuerdo con nuestro compromiso con la seguridad y privacidad. Nosotros le notificaremos cuando el problema haya sido resuelto; 
  • A menos que la ley estipule lo contrario, no emprender acciones legales contra usted ni la persona que haya reportado dicha vulnerabilidad de seguridad;
  • No suspender ni cancelar el acceso a nuestro(s) servicio(s) si usted fuera un comercio cliente; y
  • Reconocer públicamente su divulgación responsable en nuestra página Hall of Fame (Salón de la Fama).

 

Dentro del ámbito de esta política

Cualquiera de los servicios de PayU, aplicaciones basadas en iOS o Android, que procesan, almacenan, transfieren o usan de alguna manera información personal o información personal confidencial, como datos de tarjeta de crédito y datos de autenticación.
Particularmente, las vulnerabilidades de servicios web se clasifican usando los 10 principales riesgos de seguridad según OWASP (OWASP Top 10) Las vulnerabilidades de la aplicación móvil se clasifican usando OWASP Mobile Top 10.

Fuera del ámbito

Cualquier servicio prestado por proveedores externos y servicios no prestados por PayU.

Pruebas

Un Investigador puede realizar pruebas a una cuenta de un comercio solo si es el propietario de la cuenta o un agente autorizado por el propietario de la cuenta para llevar a cabo dichas pruebas. 

Como Investigador, en ningún caso se le permite acceder, descargar o modificar los datos que se alojen en cualquier otra cuenta que no sea de su pertenencia o para la que no haya sido autorizado a realizar dichas actividades. 

En aras de la seguridad de nuestros Comercios, usuarios, empleados, el Internet en general y usted como Investigador, los siguientes tipos de prueba se excluyen expresamente del alcance y las pruebas: cualquier resultado de pruebas físicas (acceso a oficina, tailgating, puertas abiertas) o vulnerabilidades de ataque de denegación de servicio (DOS, por sus siglas en inglés) o ataque de denegación de servicio distribuido (DDOS, por sus siglas en inglés). Una divulgación responsable tampoco incluye la identificación de cualquier falta ortográfica, o cualquier error (bugs) de interfaz (UI) y experiencia de usuario (UX)...

Las reglas

Les exigimos a todos los Investigadores:

  • Esforzarse al máximo para evitar violaciones de privacidad, deterioro de la experiencia del usuario o Comercio, interrupción de los sistemas de producción y destrucción de datos durante las pruebas de seguridad;
  • No intentar obtener acceso a la cuenta, datos o información personal de otras personas;
  • Usar la dirección de correo electrónico proporcionada para reportarnos cualquier información de vulnerabilidad;
  • Guardar información sobre cualquier vulnerabilidad que considere confidencial entre usted y PayU. PayU se tomará un tiempo razonable para solucionar dicha vulnerabilidad (aproximadamente 3 meses como mínimo, pero esto depende de la naturaleza de la vulnerabilidad de seguridad y el cumplimiento normativo de PayU). El investigador no revelará públicamente el error o vulnerabilidad en cualquier plataforma física o en línea antes de que se solucione y previa autorización escrita de PayU para realizar la revelación pública.
  • No realizar ningún ataque que pudiera dañar la fiabilidad, integridad y capacidad de nuestros servicios. No se permite adjuntar DDoS/archivos no deseados;
  • No usar escáneres ni herramientas automatizadas para encontrar vulnerabilidades (si se genera demasiado ruido podemos suspender automáticamente su cuenta y bloquear su dirección IP);
  • Como Investigador, usted declara y garantiza que tiene el derecho, título e interés de revelar cualquier vulnerabilidad encontrada y entregar cualquier información, incluyendo documentos, códigos, entre otros, en conexión con los mismos. Una vez reporte una vulnerabilidad, usted le garantiza a PayU, sus subsidiarias y filiales el derecho irrevocable, global, libre de regalías, transferible, pero no transferible a terceros, de utilizar de cualquier manera que PayU considere pertinente para cualquier propósito como: reproducción, modificación, distribución, adaptación, entre otros usos, de la información relacionada con las vulnerabilidades. Además, por el presente, usted renuncia a cualquier otra reclamación de cualquier naturaleza, incluyendo contrato expreso, contrato de hecho implícito o cuasicontrato, que se genere de cualquier revelación aceptada por PayU.

Recuerde que nunca debe intentar realizar ataques no técnicos como ingeniería social, phishing (suplantación de identidad) o ataques físicos contra nuestros empleados, usuarios o infraestructura.

Incluya la siguiente información en su reporte:

  • Descripción detallada de los pasos necesarios para ayudarnos a reproducir la vulnerabilidad (los scripts de prueba de concepto, las capturas de pantalla y videos detallando el paso a paso nos son bastante útiles); y
  • Su dirección de correo electrónico.

 

Reconocimiento: Página Hall of Fame

  • Por ayudar a PayU a mantener continuamente la seguridad de nuestros datos, una vez se verifique y se solucione la vulnerabilidad de seguridad como resultado del reporte, nos gustaría colocar su nombre en nuestra página de Hall of Fame.
  • Naturalmente, necesitaremos saber si desea el reconocimiento, en cuyo caso se le solicitará proporcionarnos su nombre y cuenta de Twitter para que usted decida cómo desea que aparezca en nuestra página de Hall of Fame.

 

No ofrecemos ninguna compensación económica, solo fama, reconocimiento de gloria y nuestro agradecimiento.

Las solicitudes o exigencias de compensación económica en relación con cualquier vulnerabilidad presunta o identificada no cumplen con esta Política de Divulgación Responsable. 

Hall of Fame

PayU le agradece a las siguientes personas y organizaciones que han identificado vulnerabilidades de seguridad de acuerdo con esta Política de Divulgación Responsable.

Indemnización

El Investigador indemnizará completamente, eximirá de toda responsabilidad y defenderá (en conjunto, “indemnizará” e “indemnización”) a PayU, sus subsidiarias y filiales, sus directores, funcionarios, empleados, agentes y accionistas (en conjunto, “Partes Indemnizadas”) de y contra cualquier reclamación, exigencia, acción, demanda, daños, obligaciones, pérdidas, arreglos, sentencias, costos y gastos (incluyendo, entre otros, honorarios y costos razonables del abogado), sea o no que implique una reclamación de terceros que se genere por o esté relacionada con (1) cualquier incumplimiento de cualquier declaración o garantía incluida en esta Política de Divulgación Responsable desarrollada por el Investigador; (2) cualquier incumplimiento o violación de los términos de esta Política de Divulgación Responsable o cualquier obligación o deber del Investigador estipulada en la misma y conforme a la ley vigente; (3) cualquier incumplimiento de la confidencialidad; (4) cualquier uso indebido de datos, incluyendo datos personales; (5) cualquier incumplimiento de cualquier exoneración otorgada; (6) cualquier intento de contactar con los clientes de PayU, usuarios o terceros para informar la existencia de la vulnerabilidad. Esto incluye cualquier referencia o mensaje en redes sociales, haciendo referencia a encontrar (7) cualquier intento de presentar reclamaciones, demandas, exigencias, acciones, sentencias de manera directa e indirecta contra PayU o cualquier otra Parte Indemnizada, en cualquier caso, que se deba o no por negligencia de PayU o cualquier otra Parte Indemnizada y si la reclamación pertinente tenga o no mérito legal.

Dominios

*.payu.co.za

*.payu.com.ng

*.payu.co.ke

*.payu.pl

*.payu.com

*.payu.com.tr

*.payu.ro

*.payu.ru

*.payubiz.in

*.payumoney.com

*.lazypay.com

*.pagosonline.com

*.pagosonline.net

*.dineromail.com

*.bcash.com.br

*.fcontrol.com.br

*.payulatam.com

*.fraudvault.com

 

Contáctanos

security@payu.com

Portugues

Pagamentos PayU

A PayU leva a segurança de nossos sistemas e nossos dados muito a sério. Estamos nos esforçando continuamente para manter e assegurar que nosso ambiente é seguro e protegido para que todos utilizem. Se você descobriu quaisquer vulnerabilidades de segurança associadas a qualquer um dos nossos serviços PayU, agradecemos a sua ajuda em divulgá-lo para nós de uma forma responsável. 

Política de divulgação responsável

A PayU irá colaborar com você como pesquisador externo de segurança (o Pesquisador) quando as vulnerabilidades nos forem relatadas de acordo com esta Política de divulgação responsável.

Se um pesquisador seguir as regras estabelecidas nesta Política de divulgação responsável ao nos relatar uma vulnerabilidade de segurança, a menos que prescrito de outra forma por lei ou pelas regras do sistema de pagamento, nos comprometemos a:

  • reconhecer prontamente o recebimento do seu relatório de vulnerabilidade e trabalhar com o pesquisador para entender e tentar resolver o problema rapidamente;
  • validar, responder e corrigir tal vulnerabilidade de acordo com nosso compromisso com a segurança e a privacidade; notificá-lo quando o problema for corrigido; 
  • a menos que prescrito por lei de outra forma, não perseguir ou tomar medidas judiciais contra você ou a pessoa que relatou tais vulnerabilidades de segurança;
  • não suspender ou encerrar o acesso aos nosso(s) serviço(s) se você for um comerciante. Se você for um agente, não suspender ou encerrar os acessos comerciais aos nossos serviços aos quais o agente representa;
  • reconhecer publicamente e reconhecer sua divulgação responsável em nossa página Hall of Fame (Corredor da Fama).

 

No âmbito desta política

Qualquer um dos serviços PayU, aplicativos baseados em iOS ou Android, que processam, armazenam, transferem ou utilizam de alguma forma informações pessoais ou informações pessoais confidenciais, como dados de cartão e dados de autenticação.
Em particular, as vulnerabilidades de serviço da web são classificadas utilizando os 10 principais riscos do Projeto Aberto de Segurança em Aplicações Web (OWASP). As vulnerabilidades de aplicativos móveis são classificadas utilizando os 10 principais riscos do Projeto de segurança móvel do Projeto Aberto de Segurança em Aplicações Web (OWASP Mobile).

Fora do âmbito

Quaisquer serviços hospedados por provedores de terceiros e serviços são fornecidos pela PayU.

Teste

Um pesquisador só pode testar uma conta comercial se ele for um proprietário de conta ou um agente autorizado pelo proprietário de conta para realizar tal teste. 
Como um pesquisador, em nenhum caso você tem permissão para acessar, baixar ou modificar dados residentes em qualquer outra conta ou que não pertença a você ou que tente fazer tais atividades.

No interesse da segurança de nossos comerciantes, usuários, funcionários, a Internet em geral e você como um pesquisador, os seguintes tipos de teste são excluídos expressamente do âmbito e testes: quaisquer descobertas de testes físicos (acesso ao escritório, invasão, portas abertas) ou vulnerabilidades de ataque de Negação de serviço (DOS) ou ataque de Negação de serviço distribuído (DDOS). Uma divulgação responsável também não inclui identificar quaisquer erros ortográficos, ou erros de interface e experiência do usuário (UI e UX)...

As regras

Exigimos que todos os pesquisadores devem:

  • Fazer todos os esforços para evitar violações de privacidade, degradação da experiência do usuário ou do comerciante, interrupção dos sistemas de produção e destruição de dados durante os testes de segurança.
  • Não tentar obter acesso a quaisquer outras contas pessoais, dados ou informações pessoais.
  • Utilizar o endereço de e-mail identificado para nos relatar qualquer informação de vulnerabilidade.
  • Manter informações sobre quaisquer vulnerabilidades que você considere confidenciais entre você e a PayU. A PayU levará um tempo razoável para remediar tal vulnerabilidade (aproximadamente 3 meses no mínimo, mas isto depende da natureza da vulnerabilidade de segurança e da conformidade regulamentar pela PayU). O Pesquisador não deverá divulgar publicamente o erro ou vulnerabilidade em qualquer plataforma on-line ou física antes destes serem corrigidos e da aprovação prévia por escrito da PayU para divulgar publicamente.
  • Não realizar nenhum ataque que possa prejudicar a fiabilidade, integridade ou capacidade de nossos serviços. Não é permitido anexar DDOS/spam;
  • Não utilizar scanners ou ferramentas automatizadas para encontrar vulnerabilidades (se utiliza Noisy, poderemos suspender automaticamente a sua conta e banir o seu endereço IP)
  • Como um pesquisador, você declara e garante que tem o direito, título e interesse de divulgar qualquer vulnerabilidade encontrada e de enviar qualquer informação, incluindo documentos, códigos, entre outros, em conexão com elas. Após informar a vulnerabilidade, você concede a PayU, suas subsidiárias e afiliadas um direito irrevogável, universal, livre de royalties, transferível e sublicenciável de utilizar de qualquer forma que a PayU considere apropriada para qualquer finalidade, como: reprodução, modificação, distribuição, adaptação entre outros usos, as informações relacionadas com as vulnerabilidades. Além disso, você renuncia a todas as outras reivindicações de qualquer natureza, incluindo contrato expresso, contrato implícito de fato, ou quase contrato, decorrente de qualquer divulgação aceita pela PayU.

Lembre-se que você nunca deve tentar ataques não técnicos, como engenharia social, roubo de identidade, ou ataques físicos contra nossos funcionários, usuários ou infraestrutura.

Inclua as seguintes informações com seu relatório:

  • descrição detalhada das etapas necessárias para nos ajudar a reproduzir a vulnerabilidade (scripts de prova de conceito (POC), capturas de tela e capturas de tela compactas são úteis para nós); e
  • Seu endereço de e-mail.

 

Reconhecimento – Página Hall of Fame (Corredor da Fama)

  • Ao ajudar a PayU a manter continuamente sua segurança de dados, uma vez que a vulnerabilidade de segurança foi verificada e corrigida como resultado do relatório, gostaríamos de colocar o seu nome na nossa página Hall of Fame (Corredor da Fama).
  • Naturalmente, vamos precisar saber se você deseja o reconhecimento, caso em que você deverá nos fornecer seu nome e conta no Twitter de acordo com o que você deseja que seja exibido em nossa página Hall of Fame (Corredor da Fama).

 

Não oferecemos qualquer compensação financeira, apenas fama, reconhecimento de glória e nosso apreço.

Solicitações ou demandas por compensação financeira em conexão com qualquer vulnerabilidade identificada ou alegada não estão em conformidade com esta Política de divulgação responsável. 

Hall of Fame (Corredor da Fama)

A PayU agradece aos seguintes indivíduos e organizações que identificaram vulnerabilidades de segurança de acordo com esta Política de divulgação responsável.

Indenização

O Pesquisador deverá indenizar integralmente, isentar-se e defender (coletivamente “indenizar” e “indenização”) a PayU, suas subsidiárias e afiliadas, seus diretores, executivos, funcionários, agentes e acionistas (coletivamente, “Partes indenizadas”) de e contra todas as reivindicações, demandas, ações, processos, danos, responsabilidades, perdas, conciliações, julgamentos, custos e despesas (incluindo, mas não limitado a honorários e custos advocatícios razoáveis), se ou não envolvendo uma reinvindicação de terceiro, que possa surgir ou que refere-se a (1) qualquer violação de qualquer declaração ou garantia contida nesta Política de divulgação responsável feita pelo pesquisador, (2) qualquer violação dos termos desta Política de divulgação responsável ou qualquer obrigação ou dever do pesquisador referido nela ou na lei aplicável, (3) qualquer violação de confidencialidade, (4) qualquer uso indevido de dados, incluindo dados pessoais, (5) qualquer violação de qualquer renúncia concedida, (6) qualquer tentativa de entrar em contato com clientes, usuários ou terceiros da PayU, para informar a existência da vulnerabilidade. Isto inclui qualquer referência ou mensagem em mídias sociais fazendo referência à constatação (7) de qualquer tentativa de trazer direta ou indiretamente reinvindicações, demandas, ações, julgamentos contra a PayU ou qualquer outra Parte Indenizada, em cada caso, se ou não causada por negligência da PayU ou de qualquer outra Parte Indenizada e se a reinvindicação relevante tem ou não mérito legal.

Domínios

*.payu.co.za

*.payu.com.ng

*.payu.co.ke

*.payu.pl

*.payu.com

*.payu.com.tr

*.payu.ro

*.payu.ru

*.payubiz.in

*.payumoney.com

*.lazypay.com

*.pagosonline.com

*.pagosonline.net

*.dineromail.com

*.bcash.com.br

*.fcontrol.com.br

*.payulatam.com

*.fraudvault.com

 

 

Contate-nos

security@payu.com

 

PayU Report Vulnerability