Compromiso con la Seguridad de Nuuvem

En Nuuvem, la seguridad es la piedra angular de nuestro compromiso con clientes y socios. Entendemos que la confianza es la moneda más valiosa en el mundo digital. Por eso, adoptamos un enfoque proactivo y meticuloso en relación a la seguridad, implementando las mejores prácticas del mercado en todos los aspectos de nuestro negocio.

Desde el desarrollo inicial de nuestros sistemas hasta el mantenimiento continuo de nuestra infraestructura, cada paso está guiado por protocolos de seguridad rigurosos. Nuestros desarrolladores están formados en las últimas técnicas de codificación segura, y nuestros sistemas están construidos para ser resistentes ante las últimas amenazas. Empleamos pruebas de seguridad continuas y revisiones de código para asegurar que las vulnerabilidades sean identificadas y corregidas rápidamente.

El alojamiento de nuestros sistemas se realiza en entornos que cumplen con los más altos estándares de seguridad, garantizando la integridad y disponibilidad de los datos de nuestros clientes. Nuestra infraestructura está diseñada para ser robusta y segura, con redundancias y protecciones en capas para defenderse contra una variedad de vectores de ataque.

Sin embargo, sabemos que la seguridad es un proceso continuo y que la innovación constante es necesaria para mantener la defensa contra agentes maliciosos. Es por eso que estamos orgullosos de presentar nuestro Programa de Recompensas por Vulnerabilidades, una extensión de nuestro compromiso con la seguridad, donde invitamos a investigadores y expertos a colaborar con nosotros en la identificación y resolución de posibles vulnerabilidades.

Juntos, continuaremos cultivando un entorno donde nuestros clientes puedan comprar y jugar con tranquilidad, sabiendo que su seguridad es nuestra máxima prioridad.

Programa de Bug Bounty de Nuuvem

Sabemos que, a pesar de nuestros continuos esfuerzos por garantizar la integridad de nuestros sistemas, ninguna seguridad es infalible. Es por eso que estamos lanzando nuestro Programa de Bug Bounty, una iniciativa destinada a fortalecer aún más nuestra seguridad digital a través de la colaboración con la comunidad de investigación de seguridad y programación.

Estamos emocionados de invitar a investigadores y programadores a participar en nuestro Programa de Bug Bounty, diseñado para identificar y corregir vulnerabilidades que puedan afectar la seguridad y privacidad de nuestros usuarios.

Cómo funciona

Nuestro programa recompensa a investigadores y programadores que identifican y reportan de manera responsable vulnerabilidades en nuestros sistemas. Si encuentras un fallo de seguridad en nuestros sistemas, queremos saberlo para que podamos actuar rápidamente para solucionar el problema.

Al enviar tu información sobre el fallo de seguridad y la corrección sugerida, estás aceptando otorgar a Nuuvem el derecho de utilizar la información y la corrección. La contraprestación financiera derivada de este derecho de uso es la recompensa que se te pagará de acuerdo con esta política.

Sistemas elegibles

Es importante destacar que el Programa de Bug Bounty de Nuuvem se centra exclusivamente en sistemas desarrollados internamente por la empresa. En el caso de sistemas de Nuuvem disponibles a través de Internet, estarán disponibles en los siguientes dominios:

  • nuuvem.com
  • nuuvem.com.br
  • nuuvem.co
  • nuuvem.host
  • nuuvem.dev
  • nuuvem.net
  • nuuvem.games
  • nuuvem.io
  • n-arcade.io

Las recompensas solo se ofrecerán por las vulnerabilidades identificadas en estos sistemas. Sin embargo, valoramos la seguridad de todos los sistemas operados por nosotros, incluidos los de terceros o de código abierto. Agradecemos a la comunidad por informar sobre cualquier fallo encontrado y nos comprometemos a enviar esta información a las partes relevantes para que se tomen las medidas necesarias. La colaboración de todos es esencial para mantener un entorno digital seguro.

Las vulnerabilidades en el software de los juegos electrónicos comercializados a través de las plataformas de Nuuvem no forman parte del alcance del Programa de Bug Bounty. Estas vulnerabilidades involucran software que es propiedad de los editores y, por esta razón, no están incluidas en este programa de recompensas.

Los fallos de seguridad informados por diferentes personas darán derecho a la persona que informó primero a Nuuvem sobre el fallo de seguridad a la recompensa.

Recompensas

Entendemos que descubrir vulnerabilidades requiere un conjunto especializado de habilidades y una inversión significativa de tiempo y esfuerzo. Por eso, ofrecemos un sistema de recompensas con diferentes niveles, basado en la gravedad y el impacto de la vulnerabilidad reportada.

Después de la validación de la vulnerabilidad por nuestro equipo de seguridad, determinaremos el valor de la recompensa basado en criterios como el impacto, facilidad de explotación y la calidad y detalle del informe proporcionado.

Los niveles de recompensa son los siguientes:

1. Crítico (Critical): Vulnerabilidades que permiten la ejecución remota de código, acceso a datos sensibles del sistema o que afectan directamente la integridad y disponibilidad de nuestros servicios.
   - Recompensa: $1500 - $5000 USD

2. Alto (High): Problemas que afectan significativamente la seguridad de nuestros sistemas pero que no se clasifican como críticos, como la escalada de privilegios locales o fallos de seguridad en procesos de autenticación.
   - Recompensa: $600 - $1499 USD

3. Medio (Medium): Vulnerabilidades que requieren interacción del usuario para ser explotadas o que tienen un impacto moderado en la confidencialidad, integridad o disponibilidad de nuestros servicios.
   - Recompensa: $300 - $599 USD

4. Bajo (Low): Problemas con un impacto limitado y menos severos, como fugas de información que afectan a un pequeño número de usuarios o problemas que requieren interacciones complejas para ser explotados.
   - Recompensa: $100 - $299 USD

5. Informativo (Informative): Informes que proporcionan información útil pero no representan una vulnerabilidad directa o una amenaza inmediata a la seguridad. Estos hallazgos son valiosos para futuras mejoras.
   - Recompensa: Reconocimiento o recompensas no monetarias (por ejemplo, agradecimientos, obsequios de la empresa, etc.)

Es importante enfatizar que los valores mencionados son montos brutos. Esto significa que, antes de que el pago se realice al destinatario, pueden aplicarse descuentos relacionados con tarifas y/o impuestos según lo exija la legislación vigente o las políticas de la institución pagadora. Por lo tanto, el monto neto recibido puede ser menor que el monto bruto divulgado originalmente, ya que se ajustará para reflejar estas deducciones obligatorias. Se recomienda que los beneficiarios se informen sobre las retenciones aplicables para tener una expectativa precisa del monto que recibirán efectivamente.

También tenga en cuenta que no todas las vulnerabilidades reportadas serán elegibles para una recompensa monetaria. La elegibilidad y el nivel de la recompensa son determinados por nuestro equipo de seguridad en función de la gravedad, el impacto y la originalidad del informe. Las vulnerabilidades previamente conocidas, duplicadas o aquellas que no tienen un impacto significativo pueden no recibir una recompensa monetaria, pero aún valoramos y agradecemos todos los informes presentados.

Sin perjuicio de lo que explicamos en la sección de Opciones de Pago para Recompensas a continuación (y las opciones para recibir las recompensas que mencionamos), explicaremos los criterios para el pago en dólares, reales o en la moneda local del país donde reside el beneficiario.

Los montos expresados en dólares se pagarán a los beneficiarios que residan en Brasil a través de su conversión al Real, de acuerdo con la tasa de cambio vigente en la fecha del pago.

Los montos se pagarán en dólares para los beneficios ubicados en Estados Unidos o en países que acepten el dólar estadounidense como moneda de pago.
Para los beneficiarios ubicados en el extranjero, en países donde el dólar estadounidense no sea una moneda aceptada, Nuuvem realizará una transferencia en dólares al beneficiario, con la conversión y recepción en la moneda local según lo permitido en el país del beneficiario y la práctica de la institución financiera elegida.

Nota importante: La decisión final sobre la clasificación de la vulnerabilidad y la recompensa otorgada queda a criterio exclusivo de Nuuvem. Nos reservamos el derecho de decidir si un informe califica para una recompensa y, de ser así, qué nivel de recompensa es apropiado.

Opciones de pago para recompensas

Para asegurar que el proceso de recompensa sea lo más eficiente y gratificante posible, hemos establecido métodos de pago flexibles para aquellos que reporten con éxito vulnerabilidades.

Las recompensas por informes de vulnerabilidad aceptados se pagan de la siguiente manera:

1. Transferencia bancaria internacional: Para aquellos que prefieren una transacción directa, ofrecemos pagos a través de transferencia bancaria internacional. Esta opción permite que la recompensa se deposite directamente en la cuenta bancaria del investigador, independientemente de su ubicación en el mundo.

Nota importante: Este tipo de pago está sujeto a nuestra capacidad para operar dentro de los parámetros fiscales, legales y operativos establecidos por cada país o región. Aunque, en general, podamos atender a la gran mayoría de países y territorios, hay casos en los que las restricciones pueden impedirnos realizar tales transferencias. Si tiene alguna pregunta sobre la posibilidad de recibir pagos en su lugar de residencia, comuníquese con nosotros para verificar la viabilidad.

2. PayPal: Reconociendo la conveniencia y alcance de PayPal, también ofrecemos la opción de recibir pagos a través de este servicio. Es una alternativa segura y confiable para transferencias internacionales de dinero.

Nota importante: De manera similar a las transferencias bancarias, este tipo de pago también está sujeto a nuestra capacidad fiscal, legal y operativa, y también a los límites de uso de PayPal. Nuevamente, en caso de duda, contáctenos.

Además de estas opciones monetarias, ofrecemos una atractiva alternativa para aquellos que son entusiastas de nuestro comercio electrónico:

3. Créditos o cupones de descuento: Si el investigador así lo desea, puede optar por recibir el valor de la recompensa en créditos o cupones de descuento para ser utilizados en compras en nuestra tienda. Como bonificación adicional, aumentaremos el valor de la recompensa en un 50% cuando se elija como forma de pago. Por ejemplo, si la recompensa en efectivo es de $1000 USD, el investigador puede optar por recibir $1500 USD en créditos o cupones de descuento.

Estas opciones de recompensa están diseñadas para acomodar las preferencias personales de los contribuyentes a nuestro Programa de Recompensas por Errores, y esperamos que fomenten una participación aún mayor en la mejora continua de la seguridad de Nuuvem.

Requisitos para el Pago de Recompensas

Para que podamos procesar el pago de recompensas, es indispensable que el destinatario de la recompensa proporcione su información personal necesaria para satisfacer los requisitos fiscales regulatorios de los países donde operamos. Datos como nombre completo, dirección, número de identificación fiscal y detalles bancarios son algunos ejemplos de información que pueden ser requeridos para completar la transacción. Hacemos hincapié en que no es posible realizar pagos de manera anónima, ya que necesitamos garantizar la transparencia y el cumplimiento de las regulaciones pertinentes. La seguridad y privacidad de los datos proporcionados serán estrictamente preservadas de acuerdo con las leyes aplicables de protección de datos. Si tiene alguna pregunta sobre el proceso o qué datos se necesitan, no dude en contactarnos.

Uso Aceptable

Al participar en nuestro programa, usted acepta:

  • No comprometer la privacidad de nuestros clientes o los datos de nuestros sistemas.
  • No interrumpir ni degradar nuestros servicios.
  • No explotar comercialmente o beneficiarse de las vulnerabilidades encontradas.
  • No explotar las vulnerabilidades encontradas más allá de lo estrictamente necesario para el trabajo de investigación y divulgación responsable.
  • Mantener las vulnerabilidades confidenciales hasta que sean resueltas. No exponer públicamente la vulnerabilidad antes de darnos un tiempo razonable para resolverla.
  • Seguir las leyes aplicables y las mejores prácticas éticas durante su investigación.

Cómo Reportar Vulnerabilidades

Para reportar una vulnerabilidad, envíe un correo electrónico a security@nuuvem.com con la siguiente información:

  • Descripción detallada de la vulnerabilidad encontrada, incluyendo su ubicación y cómo puede ser explotada.
  • Pasos reproducibles que demuestren la vulnerabilidad (se aceptan pruebas de concepto, capturas de pantalla y videos).
  • Su información de contacto y retorno, incluyendo nombre, afiliación (si corresponde) y país.
  • Cualquier otra información relevante que pueda ayudarnos a comprender mejor el alcance del problema.

Si encuentra múltiples vulnerabilidades, por favor envíe un correo electrónico separado para cada vulnerabilidad encontrada. Cada vulnerabilidad enviada será evaluada de forma independiente, y potencialmente cada una también podría ser recompensada.

Política de Divulgación Responsable

Pedimos a todos los investigadores que sigan nuestra política de divulgación responsable, lo que significa:

  • No compartir información sobre la vulnerabilidad con terceros hasta que se resuelva.
  • Dar a Nuuvem un tiempo razonable para corregir la vulnerabilidad antes de discutirla públicamente, generalmente 90 días después del informe.

Agradecimientos

Agradecemos su contribución a la seguridad de Nuuvem y esperamos trabajar juntos para crear un entorno digital más seguro para todos.

Contacto

Para consultas no relacionadas con la informe de vulnerabilidades, por favor contáctenos por correo electrónico a support@nuuvem.com.

Aviso Legal

Nuuvem se reserva el derecho de modificar los términos de este programa o darlo por terminado en cualquier momento. Los participantes del programa deben actuar de buena fe y no estarán sujetos a acciones legales si siguen las reglas establecidas aquí, pero Nuuvem se opone firmemente a cualquier acción que pueda causar daño a nuestros usuarios, operaciones o reputación.