Divulgación Responsable

• Debe actuar de buena fe para evitar cualquier violación de la privacidad o interrupción de los servicios que proporcionamos. Esto incluye, pero no se limita a, accesos no autorizados o destrucción de datos, así como la interrupción o degradación de nuestros servicios. Asimismo, debe cumplir con todas las leyes y normativas aplicables, incluidas aquellas que prohíben el acceso no autorizado a los datos.
• Si descubre un problema de seguridad, debe utilizarlo únicamente con fines de prueba y no debe realizar pruebas fuera de su propia cuenta o de otra cuenta sin el consentimiento explícito por escrito del titular de dicha cuenta. También debe considerar cualquier riesgo adicional que la vulnerabilidad pueda representar, como el riesgo de comprometer datos sensibles de la empresa o de la cuenta de otro usuario.
• Evite ejecutar escaneos automáticos.
• Absténgase de probar la seguridad física de oficinas, empleados, equipos de Trustly, etc.
• No se permite el uso de técnicas de ingeniería social (phishing, vishing, etc.).
• No realice ataques de denegación de servicio (DoS) ni ataques distribuidos de denegación de servicio (DDoS).
• No divulgue ningún problema al público ni a terceros sin el permiso explícito de Trustly.
• Mantenemos una lista de investigadores de seguridad que han presentado informes válidos. La participación en esta lista es opcional. Nos reservamos el derecho de limitar la información asociada con su nombre.

Solo nos interesan las vulnerabilidades en dominios o direcciones IP que sean propiedad de Trustly Group AB o Trustly Inc. Por favor, verifique los registros WHOIS para asegurarse de que el dominio o IP nos pertenece.

Ejemplos de vulnerabilidades que están fuera de alcance (esta lista no es exhaustiva):

• Códigos/páginas HTTP 404 u otros códigos/páginas HTTP distintos de 200
• Fingerprinting o divulgación de banners en servicios comunes/públicos
• Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
• Clickjacking y problemas explotables únicamente a través de clickjacking
• CSRF en formularios accesibles para usuarios anónimos
• CSRF en el cierre de sesión
• Funcionalidades de autocompletado o guardado de contraseñas de la aplicación o del navegador
• Falta de flags "secure" o "HTTP-only" en cookies no sensibles
• Método HTTP OPTIONS habilitado
• Enumeración de direcciones @trustly.com
• Falta de cabeceras de seguridad HTTP (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), como:
  a. Strict-Transport-Security
  b. X-Frame-Options
  c. X-XSS-Protection
  d. X-Content-Type-Options
  e. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  f. Content-Security-Policy-Report-Only

• Problemas TLS/SSL como BEAST, BREACH, suites de cifrado débiles, etc.
• Suplantación de contenido/inyección de texto sin HTML/CSS
• Políticas de contraseñas débiles
• Configuración de correo electrónico como DMARC, SPF y DKIM
• Esta lista no es exhaustiva.