Al enviar un informe de fallos, acepta cumplir con la [Política del Programa de Recompensas de Xsolla](/es/xsolla-bounty-program-terms-and-conditions), la cual prohíbe que se revelen los detalles de cualquier vulnerabilidad o error de Xsolla, ya sea de forma pública o privada, hasta que pasen 30 días después de que el error se corrija.

Al participar en este programa, acepta respetar las normas y condiciones indicadas previamente. Todas las normas se deben seguir para tener derecho a una recompensa.

ENVÍO DE INFORME

Reglas

#### DENTRO DEL ÁMBITO
El programa está limitado a las versiones web y para móviles de la página web de Xsolla. Nuestros perfiles en Facebook, Twitter, LinkedIn, Reddit, etc. y las páginas web de nuestros socios, no quedan incluidos.

Elegibles para recompensas:

*.xsolla.com

80.lv

story3.com

golightstream.com (rainmaker.gg excluido) 

api.stream

##### VULNERABILIDADES ELEGIBLES

| VULNERABILIDAD |  RANGO DE GRAVEDAD |
|----------|------------------|
| Ejecución remota de código | Crítico  |
| Inyección SQL  | Alto - Crítico |
|  XXE   | Alto - Crítico   |
|  XSS almacenada    | Medio - Alto             |
| Falsificación de peticiones del servidor (SSRF) | Alto - Crítico  |
| Salto de directorio - inclusión de archivos locales   | Alto             |
| Evasión de la autenticación o autorización (pérdida de control de acceso)  |Medio - Alto            |
| Escalada de privilegios    |  Medio - Alto      |
| Referencia directa de objetos no seguros (IDOR)|  Medio - Alto     |
| XSS reflejada     | Medio             |
|  Error de configuración   | Bajo - Alto            |
| Engaño de caché web   | Bajo - Medio        |
| Error de configuración CORS | Bajo - Medio  |
| Inyección CRLF | Bajo - Medio         |
| Falsificación de peticiones en sitios cruzados (CSRF)   | Bajo - Alto            |
| Redirección abierta    | Bajo - Medio          |
| Filtración de datos    | Bajo - Medio        |

Dentro del ámbito

#### REGLAS DE ACTUACIÓN
Envía el formulario [enlace](#form) a continuación con un informe detallado. El informe debe incluir información clara sobre los problemas de seguridad y su impacto. Los informes sin prueba de concepto (PoC) reproducible se archivarán como informativos.

El informe debe incluir, siempre que sea posible, lo siguiente:
- Enlace a la página con el fallo o a los productos o páginas web afectados (si procede)
- El tipo de error
- Las instrucciones paso a paso para reproducir y validar el fallo
- El impacto (por qué crees que es un error y qué problemas o perjuicios está causando)
- Recomendaciones para corregir o mejorar

Sigue estas indicaciones para presentar el informe:
- No intentes realizar una explotación posterior, incluidas la modificación o destrucción de los datos y la interrupción o degradación de los servicios de Xsolla
- No intentes realizar ataques de fuerza bruta, ataques de denegación de servicio, comprometer o hacer pruebas con cuentas de Xsolla que no sean tuyas
- No intentes atacar a los empleados de Xsolla o a sus clientes, incluidos los ataques de ingeniería social, los ataques de phishing o los ataques físicos
- No realices ataques físicos contra ninguna instalación de Xsolla

Asegúrate de utilizar la cadena de agente de usuario xsolla-bugbounty-%your-email-before@% cuando hagas las pruebas

Se permite el uso limitado de escáneres o herramientas automatizados si se aplica el agente de usuario anterior y los escáneres o herramientas están configurados para no enviar más de 15 solicitudes por segundo a un servicio concreto

El uso de herramientas de escaneo sin la cadena de agente de usuario mencionada puede provocar el bloqueo de tu cuenta/IP por protecciones automáticas. Puede llevar tiempo restablecerlas, así que asegúrate de incluirla.

Una vez enviado, te enviaremos una respuesta automática para confirmar que hemos recibido tu informe y pedirte más información si es necesario.
Revisaremos los datos y trabajaremos para validar el error notificado. Si se descubre un verdadero fallo, te lo comunicaremos.

Reglas de actuación

#### POLÍTICA DE REVELACIÓN RESPONSABLE
Consideramos que revelar un fallo para fines distintos a la corrección del mismo va en contra del espíritu de este programa. Los participantes se comprometen a no revelar los fallos detectados hasta 30 días después de haberlos corregido, y de acordar su revelación con nuestro equipo por correo electrónico para evitar cualquier malentendido.

Haremos todo lo posible para dar respuesta a tu envío lo antes posible, así como informarte de la corrección y concederte la recompensa correspondiente.

Por favor, no intentes piratear las cuentas de los usuarios, corromper las bases de datos o filtrar datos que podrían ser confidenciales. Asimismo, desaconsejamos realizar pruebas que perjudiquen la calidad del servicio ofrecido a nuestros usuarios.

Política de revelación responsable

#### PAGOS
Puedes recibir los fondos en tu cuenta de PayPal; tendrás que demostrar que la cuenta de PayPal es tu cuenta personal.

También puedes recibir el importe como crédito para cualquiera de los juegos que distribuye Xsolla. Te pediremos tu apodo o correo electrónico asociado a la cuenta.

Pagos

#### FUERA DE ÁMBITO
- Prácticas recomendadas de seguridad, por ejemplo, encabezados de seguridad, etc.
- Ingeniería social, phishing
- Ataques físicos
- Detección de la ausencia de cookies
- CSRF con un impacto mínimo, por ejemplo, CSRF de inicio de sesión, CSRF de cierre de sesión, etc.
- Spoofing de contenido
- Seguimientos de pila, revelación de rutas, listados de directorios
- Prácticas recomendadas de SSL/TLS
- Captura de banners
- Inyección CSV
- Descarga de archivos reflejada (RFD)
- Informes sobre navegadores obsoletos
- DoS y DDoS (incluida la ausencia de límites de velocidad y de restricciones de tamaño de los archivos)
- Inyección de encabezado de host sin un impacto demostrable
- Salidas de escáner
- Vulnerabilidades en productos de terceros
- Enumeración de usuarios
- Complejidad de las contraseñas
- Método de seguimiento HTTP
- Problemas detectados en el software de terceros utilizado por Xsolla
- Secuestro de clic (clickjacking)
- Self XSS 
- Spoofing de correo electrónico - Error de configuración de los registros SPF
- Redirección abierta con inyección de encabezado de host

Informes sobre:
- Un pago rechazado o que no se efectúa.
- Un reembolso que no ha sido autorizado o cuyos fondos aún no han llegado a tu cuenta.
- El sistema de pago que quieres utilizar no está disponible temporalmente, o no está disponible en tu región o con tu operador de telefonía móvil.
- No has recibido la compra o la bonificación asociada.
- Problemas relacionados con paradas programadas o imprevistas, problemas de conexión, etc.
- Errores detectados en nuestros perfiles en Facebook, Twitter, LinkedIn, Reddit, etc. y en las páginas web de nuestros socios.

Para estas y otras cuestiones relacionadas con los pagos, contacta con nuestro equipo de atención al cliente disponible las 24 horas: help.xsolla.com.

Fuera de ámbito

#### RECOMPENSAS
Nuestras recompensas se basan en la gravedad de las vulnerabilidades. Utilizamos el CVSS 3.1 (Common Vulnerability Scoring Standard) para calcular la gravedad.

Es posible que paguemos más por fallos singulares y difíciles de encontrar, o por informes de alta calidad; también es posible que paguemos menos por fallos con requisitos previos complejos que disminuyan el riesgo de explotación.

Las decisiones relativas a las recompensas quedan a la discreción de Xsolla. Algunos problemas pueden considerarse de menor gravedad si existen controles de compensación y contexto.

Los importes que aparecen en la tabla son los máximos para cada nivel de gravedad, aunque se pueden conceder bonificaciones a discreción de Xsolla.

| GRAVEDAD |  IMPORTE (EN USD) |
|----------|------------------|
| Crítico | $1,000 - $2,000  |
| Alto     | $800             |
| Medio   | $500             |
| Bajo      | $100             |

Cuando se produzcan duplicados, se recompensará el primer informe que podamos reproducir por completo.

Si hay varias vulnerabilidades causadas por un problema subyacente, se concederá una recompensa. Concedemos las recompensas en el momento de la validación y te iremos informando a medida que trabajemos para resolverlas. A veces puede llevar más tiempo investigar la gravedad de la vulnerabilidad y puede que la recompensa se abone más tarde.

Cuando investigues fallos, haz pruebas únicamente con tu(s) cuenta(s) y no interactúes con otras cuentas sin el consentimiento de los titulares.

Recompensas

Recibe asistencia por chat más rápido en tu cuenta de [Xsolla Wallet](https://wallet.xsolla.com/).

¿Necesitas ayuda?

Accede a tu Cuenta Xsolla para empezar.

Sube un archivo de un tamaño máximo de 10 mb.

El archivo supera el límite de tamaño.

Solo se admiten archivos MP4, MOV, JPG, PNG y GIF.

Tipo de archivo no válido

¡Gracias!

En caso de sustitución, no se puede cambiar la dirección de devolución.

Te contestaremos a tu dirección de correo electrónico cuando hayamos procesado la solicitud.

VULNERABILIDAD	RANGO DE GRAVEDAD
Ejecución remota de código	Crítico
Inyección SQL	Alto - Crítico
XXE	Alto - Crítico
XSS almacenada	Medio - Alto
Falsificación de peticiones del servidor (SSRF)	Alto - Crítico
Salto de directorio - inclusión de archivos locales	Alto
Evasión de la autenticación o autorización (pérdida de control de acceso)	Medio - Alto
Escalada de privilegios	Medio - Alto
Referencia directa de objetos no seguros (IDOR)	Medio - Alto
XSS reflejada	Medio
Error de configuración	Bajo - Alto
Engaño de caché web	Bajo - Medio
Error de configuración CORS	Bajo - Medio
Inyección CRLF	Bajo - Medio
Falsificación de peticiones en sitios cruzados (CSRF)	Bajo - Alto
Redirección abierta	Bajo - Medio
Filtración de datos	Bajo - Medio