This policy outlines how you can help PayU maintain the safety and security of our systems by notifying us in case of a vulnerability. Scroll to the bottom of the page to submit a vulnerability report.
Policy
PayU Payments
PayU takes the security of our systems and our data very seriously. We are continuously striving to maintain and ensure that our environment is safe and secure for everyone to use. If you’ve discovered any security vulnerabilities associated with any of our PayU services, we do appreciate your help in disclosing it to us in a responsible manner.
Responsible Disclosure Policy
PayU will engage with you as external security researchers (the Researcher) when vulnerabilities are reported to us in accordance with this Responsible Disclosure Policy.
If a Researcher follows the rules set out in this Responsible Disclosure Policy when reporting a security vulnerability to us, unless prescribed otherwise by law or the payment scheme rules, we commit to:
In Scope of this Policy
Any of the PayU services, iOS or Android-based apps, which process, store, transfer or use in one way or personal or sensitive personal information, such as card data and authentication data.
In particular, Web service vulnerabilities are classified using OWASP Top-10. Mobile application vulnerabilities are classified using OWASP Mobile Top-10.
Out of Scope
Any services hosted by 3rd party providers and services not provided by PayU.
Testing
A Researcher can test only against a merchant account if they are an account owner or an agent authorized by the account owner to conduct such testing.
As a Researcher, in no event are you permitted to access, download or modify data residing in any other account or that does not belong to you or attempt to do any such activities.
In the interest of the safety of our merchants, users, employees, the Internet at large and you as a Researcher, the following test types are expressly excluded from scope and testing: any findings from physical testing (office access, tailgating, open doors) or DOS or DDOS vulnerabilities. A responsible disclosure also does not include identifying any spelling mistakes, or any UI and UX bugs…
The rules
We require that all Researchers must:
Please include the following information with your report:
Indemnification
Researcher shall fully indemnify, hold harmless and defend (collectively “indemnify” and “indemnification”) PayU, its subsidiaries and affiliates, its directors, officers, employees, agents, and stockholders (collectively, “Indemnified Parties”) from and against all claims, demands, actions, suits, damages, liabilities, losses, settlements, judgments, costs and expenses (including but not limited to reasonable attorney’s fees and costs), whether or not involving a third party claim, which arise out of or relate to:
Domains
*.payu.co.za
*.payu.com.ng
*.payu.co.ke
*.payu.pl
*.payu.com
*.payu.com.tr
*.payu.ro
*.payu.ru
*.pagosonline.com
*.pagosonline.net
*.dineromail.com
*.bcash.com.br
*.fcontrol.com.br
*.payulatam.com
*.fraudvault.com
*.iyzipay.com
*.iyzico.com
Contact us
Política
PayU Payments
PayU toma muy en serio la seguridad de nuestros sistemas y nuestros datos. Nos esforzamos continuamente en mantener y garantizar que nuestro entorno sea seguro para que todos lo usen. Si ha descubierto alguna vulnerabilidad en la seguridad asociada con cualquiera de nuestros servicios de PayU, le agradeceríamos su ayuda en revelarla de manera responsable.
Política de divulgación responsable
Cuando se nos reportan vulnerabilidades de acuerdo con esta Política de divulgación responsable, PayU se relacionará con usted como investigador externo de seguridad (el Investigador).
Salvo que la ley o las reglas del sistema de pagos estipulen lo contrario, si un Investigador sigue las reglas establecidas en esta Política de Divulgación Responsable al reportar una vulnerabilidad de seguridad, nos comprometemos a:
Dentro del ámbito de esta política
Cualquiera de los servicios de PayU, aplicaciones basadas en iOS o Android, que procesan, almacenan, transfieren o usan de alguna manera información personal o información personal confidencial, como datos de tarjeta de crédito y datos de autenticación.
Particularmente, las vulnerabilidades de servicios web se clasifican usando los 10 principales riesgos de seguridad según OWASP (OWASP Top 10) Las vulnerabilidades de la aplicación móvil se clasifican usando OWASP Mobile Top 10.
Fuera del ámbito
Cualquier servicio prestado por proveedores externos y servicios no prestados por PayU.
Pruebas
Un Investigador puede realizar pruebas a una cuenta de un comercio solo si es el propietario de la cuenta o un agente autorizado por el propietario de la cuenta para llevar a cabo dichas pruebas.
Como Investigador, en ningún caso se le permite acceder, descargar o modificar los datos que se alojen en cualquier otra cuenta que no sea de su pertenencia o para la que no haya sido autorizado a realizar dichas actividades.
En aras de la seguridad de nuestros Comercios, usuarios, empleados, el Internet en general y usted como Investigador, los siguientes tipos de prueba se excluyen expresamente del alcance y las pruebas: cualquier resultado de pruebas físicas (acceso a oficina, tailgating, puertas abiertas) o vulnerabilidades de ataque de denegación de servicio (DOS, por sus siglas en inglés) o ataque de denegación de servicio distribuido (DDOS, por sus siglas en inglés). Una divulgación responsable tampoco incluye la identificación de cualquier falta ortográfica, o cualquier error (bugs) de interfaz (UI) y experiencia de usuario (UX)…
Las reglas
Les exigimos a todos los Investigadores:
Incluya la siguiente información en su reporte:
Indemnización
El Investigador indemnizará completamente, eximirá de toda responsabilidad y defenderá (en conjunto, “indemnizará” e “indemnización”) a PayU, sus subsidiarias y filiales, sus directores, funcionarios, empleados, agentes y accionistas (en conjunto, “Partes Indemnizadas”) de y contra cualquier reclamación, exigencia, acción, demanda, daños, obligaciones, pérdidas, arreglos, sentencias, costos y gastos (incluyendo, entre otros, honorarios y costos razonables del abogado), sea o no que implique una reclamación de terceros que se genere por o esté relacionada con:
Dominios
*.payu.co.za
*.payu.com.ng
*.payu.co.ke
*.payu.pl
*.payu.com
*.payu.com.tr
*.payu.ro
*.payu.ru
*.pagosonline.com
*.pagosonline.net
*.dineromail.com
*.bcash.com.br
*.fcontrol.com.br
*.payulatam.com
*.fraudvault.com
*.iyzipay.com
*.iyzico.com
Contáctanos
Política
Pagamentos PayU
A PayU leva a segurança de nossos sistemas e nossos dados muito a sério. Estamos nos esforçando continuamente para manter e assegurar que nosso ambiente é seguro e protegido para que todos utilizem. Se você descobriu quaisquer vulnerabilidades de segurança associadas a qualquer um dos nossos serviços PayU, agradecemos a sua ajuda em divulgá-lo para nós de uma forma responsável.
Política de divulgação responsável
A PayU irá colaborar com você como pesquisador externo de segurança (o Pesquisador) quando as vulnerabilidades nos forem relatadas de acordo com esta Política de divulgação responsável.
Se um pesquisador seguir as regras estabelecidas nesta Política de divulgação responsável ao nos relatar uma vulnerabilidade de segurança, a menos que prescrito de outra forma por lei ou pelas regras do sistema de pagamento, nos comprometemos a:
No âmbito desta política
Qualquer um dos serviços PayU, aplicativos baseados em iOS ou Android, que processam, armazenam, transferem ou utilizam de alguma forma informações pessoais ou informações pessoais confidenciais, como dados de cartão e dados de autenticação.
Em particular, as vulnerabilidades de serviço da web são classificadas utilizando os 10 principais riscos do Projeto Aberto de Segurança em Aplicações Web (OWASP). As vulnerabilidades de aplicativos móveis são classificadas utilizando os 10 principais riscos do Projeto de segurança móvel do Projeto Aberto de Segurança em Aplicações Web (OWASP Mobile).
Fora do âmbito
Quaisquer serviços hospedados por provedores de terceiros e serviços são fornecidos pela PayU.
Teste
Um pesquisador só pode testar uma conta comercial se ele for um proprietário de conta ou um agente autorizado pelo proprietário de conta para realizar tal teste.
Como um pesquisador, em nenhum caso você tem permissão para acessar, baixar ou modificar dados residentes em qualquer outra conta ou que não pertença a você ou que tente fazer tais atividades.
No interesse da segurança de nossos comerciantes, usuários, funcionários, a Internet em geral e você como um pesquisador, os seguintes tipos de teste são excluídos expressamente do âmbito e testes: quaisquer descobertas de testes físicos (acesso ao escritório, invasão, portas abertas) ou vulnerabilidades de ataque de Negação de serviço (DOS) ou ataque de Negação de serviço distribuído (DDOS). Uma divulgação responsável também não inclui identificar quaisquer erros ortográficos, ou erros de interface e experiência do usuário (UI e UX)…
As regras
Exigimos que todos os pesquisadores devem:
Inclua as seguintes informações com seu relatório:
Indenização
O Pesquisador deverá indenizar integralmente, isentar-se e defender (coletivamente “indenizar” e “indenização”) a PayU, suas subsidiárias e afiliadas, seus diretores, executivos, funcionários, agentes e acionistas (coletivamente, “Partes indenizadas”) de e contra todas as reivindicações, demandas, ações, processos, danos, responsabilidades, perdas, conciliações, julgamentos, custos e despesas (incluindo, mas não limitado a honorários e custos advocatícios razoáveis), se ou não envolvendo uma reinvindicação de terceiro, que possa surgir ou que refere-se a:
Domínios
*.payu.co.za
*.payu.com.ng
*.payu.co.ke
*.payu.pl
*.payu.com
*.payu.com.tr
*.payu.ro
*.payu.ru
*.pagosonline.com
*.pagosonline.net
*.dineromail.com
*.bcash.com.br
*.fcontrol.com.br
*.payulatam.com
*.fraudvault.com
*.iyzipay.com
*.iyzico.com
Contate-nos