Al enviar un informe de error, te comprometes a cumplir la [Política del programa de recompensas de Xsolla](https://help.xsolla.com/en/xsolla-bounty-program-terms-and-conditions), que prohibe la divulgación tanto pública como privada de cualquier vulnerabilidad o detalle sobre errores relacionados con Xsolla. 

Al participar en este programa, aceptas cumplir las normas y condiciones anteriores. Deben cumplirse todas las normas para poder optar a las recompensas.


ENVÍO DE INFORME

Reglas

#### DENTRO DEL ÁMBITO
El programa está limitado a las versiones web y para móviles de la página web de Xsolla. Nuestros perfiles en Facebook, Twitter, LinkedIn, Reddit, etc. y las páginas web de nuestros socios, no quedan incluidos.

Elegibles para recompensas:

*.xsolla.com (accelerator.xsolla.com excluido)

80.lv

story3.com

golightstream.com (rainmaker.gg excluido) 

api.stream

##### VULNERABILIDADES ELEGIBLES

| VULNERABILIDAD |  RANGO DE GRAVEDAD |
|----------|------------------|
| Ejecución remota de código | Crítico  |
| Inyección SQL  | Alto - Crítico |
|  XXE   | Alto - Crítico   |
|  XSS almacenada    | Medio - Alto             |
| Falsificación de peticiones del servidor (SSRF) | Alto - Crítico  |
| Salto de directorio - inclusión de archivos locales   | Alto             |
| Evasión de la autenticación o autorización (pérdida de control de acceso)  |Medio - Alto            |
| Referencia directa de objetos no seguros (IDOR)|  Medio - Alto     |
| XSS reflejada     | Medio             |
|  Error de configuración   | Bajo - Alto            |
| Engaño de caché web   | Bajo - Medio        |
| Error de configuración CORS | Bajo - Medio  |
| Inyección CRLF | Bajo - Medio         |
| Falsificación de peticiones en sitios cruzados (CSRF)   | Bajo - Alto            |
| Redirección abierta    | Bajo - Medio          |
| Filtración de datos    | Bajo - Medio        |
| Escalada de privilegios    | Medio - Alto        |

Dentro del ámbito

#### REGLAS DE ACTUACIÓN
Envía el formulario [enlace](#form) a continuación con un informe detallado. El informe debe incluir información clara sobre los problemas de seguridad y su impacto. Los informes sin prueba de concepto (PoC) reproducible se archivarán como informativos.

El informe debe incluir, siempre que sea posible, lo siguiente:
- Enlace a la página con el fallo o a los productos o páginas web afectados (si procede)
- El tipo de error
- Las instrucciones paso a paso para reproducir y validar el fallo
- El impacto (por qué crees que es un error y qué problemas o perjuicios está causando)
- Recomendaciones para corregir o mejorar

Sigue estas indicaciones para presentar el informe:
- No intentes realizar una explotación posterior, incluidas la modificación o destrucción de los datos y la interrupción o degradación de los servicios de Xsolla
- No intentes realizar ataques de fuerza bruta, ataques de denegación de servicio, comprometer o hacer pruebas con cuentas de Xsolla que no sean tuyas
- No intentes atacar a los empleados de Xsolla o a sus clientes, incluidos los ataques de ingeniería social, los ataques de phishing o los ataques físicos
- No realices ataques físicos contra ninguna instalación de Xsolla

Asegúrate de utilizar la cadena de agente de usuario xsolla-bugbounty-%your-email-before@% cuando hagas las pruebas

Se permite el uso limitado de escáneres o herramientas automatizados si se aplica el agente de usuario anterior y los escáneres o herramientas están configurados para no enviar más de 15 solicitudes por segundo a un servicio concreto

El uso de herramientas de escaneo sin la cadena de agente de usuario mencionada puede provocar el bloqueo de tu cuenta/IP por protecciones automáticas. Puede llevar tiempo restablecerlas, así que asegúrate de incluirla.

Una vez enviado, te enviaremos una respuesta automática para confirmar que hemos recibido tu informe y pedirte más información si es necesario.
Revisaremos los datos y trabajaremos para validar el error notificado. Si se descubre un verdadero fallo, te lo comunicaremos.

Reglas de actuación

#### POLÍTICA DE REVELACIÓN RESPONSABLE

Consideramos que va en contra del espíritu de este programa desvelar el fallo para otros fines que no sean la corrección del mismo. Independientemente de que una vulnerabilidad figure como [Dentro del ámbito](https://help.xsolla.com/en/rules/in-scope), o se descubra en [sitios web autorizados](https://help.xsolla.com/en/rules/in-scope) o en otros sitios web de Xsolla, los participantes se comprometen a no divulgar ni notificar las vulnerabilidades detectadas por ningún otro medio que no sea a través del formulario incluido en las [Reglas de actuación](https://help.xsolla.com/en/rules/rules-of-engagement), y se comprometen asimismo a no divulgar dichas vulnerabilidades a terceros.

Haremos todo lo posible por responder a tu formulario lo antes posible y conceder una recompensa cuando proceda.

Por favor, no intentes piratear cuentas de usuario, corromper bases de datos ni filtrar datos que puedan ser de carácter confidencial. También desaconsejamos realizar pruebas que perjudiquen la calidad del servicio prestado a nuestros usuarios.

Política de revelación responsable

#### PAGOS
Puedes recibir los fondos en tu cuenta de PayPal; tendrás que demostrar que la cuenta de PayPal es tu cuenta personal.

También puedes recibir el importe como crédito para cualquiera de los juegos que distribuye Xsolla. Te pediremos tu apodo o correo electrónico asociado a la cuenta.

Pagos

#### FUERA DE ÁMBITO
- Prácticas recomendadas de seguridad, por ejemplo, encabezados de seguridad, etc.
- Ingeniería social, phishing
- Ataques físicos
- Detección de la ausencia de cookies
- CSRF con un impacto mínimo, por ejemplo, CSRF de inicio de sesión, CSRF de cierre de sesión, etc.
- Spoofing de contenido
- Seguimientos de pila, revelación de rutas, listados de directorios
- Prácticas recomendadas de SSL/TLS
- Captura de banners
- Inyección CSV
- Descarga de archivos reflejada (RFD)
- Informes sobre navegadores obsoletos
- DoS y DDoS (incluida la ausencia de límites de velocidad y de restricciones de tamaño de los archivos)
- Inyección de encabezado de host sin un impacto demostrable
- Salidas de escáner
- Vulnerabilidades en productos de terceros
- Enumeración de usuarios
- Complejidad de las contraseñas
- Método de seguimiento HTTP
- Problemas detectados en el software de terceros utilizado por Xsolla
- Secuestro de clic (clickjacking)
- Self XSS 
- Spoofing de correo electrónico - Error de configuración de los registros SPF
- Redirección abierta con inyección de encabezado de host
- Exposición de direcciones IP privadas

Informes sobre:
- Un pago rechazado o que no se efectúa.
- Un reembolso que no ha sido autorizado o cuyos fondos aún no han llegado a tu cuenta.
- El sistema de pago que quieres utilizar no está disponible temporalmente, o no está disponible en tu región o con tu operador de telefonía móvil.
- No has recibido la compra o la bonificación asociada.
- Problemas relacionados con paradas programadas o imprevistas, problemas de conexión, etc.
- Errores detectados en nuestros perfiles en Facebook, Twitter, LinkedIn, Reddit, etc. y en las páginas web de nuestros socios.

Para estas y otras cuestiones relacionadas con los pagos, contacta con nuestro equipo de atención al cliente disponible las 24 horas: help.xsolla.com.

Fuera de ámbito

#### RECOMPENSAS
Las recompensas se calculan en función de la gravedad de la vulnerabilidad. Utilizamos el CVSS 3.1 (Sistema de Puntuación de Vulnerabilidades Comunes o "Common Vulnerability Scoring Standard") para calcular la gravedad.

Es posible que paguemos más por fallos singulares y difíciles de encontrar, o por informes de alta calidad. De igual modo, es posible que paguemos menos por fallos con requisitos complejos que reducen el riesgo de explotación.

En cualquier caso, las decisiones en materia de recompensas quedan a discreción de Xsolla. Algunos problemas pueden considerarse menos graves debido a la presencia de controles compensatorios y al contexto.

Las cantidades que aparecen en la tabla deben considerarse las MÁXIMAS para cada nivel de gravedad, aunque pueden concederse bonificaciones a discreción de Xsolla.

| GRAVEDAD |  IMPORTE (EN USD) |
|----------|------------------|
| Crítico | $1,000 - $2,000  |
| Alto     | $800             |
| Medio   | $500             |
| Bajo      | $100             |

Si hay duplicados, se recompensará al primer informe que se pueda reproducir por completo.

Si existen varias vulnerabilidades derivadas de un único problema subyacente, solo se podrá optar a una recompensa, que se concederá al primer informe que dé a conocer el problema. Las recompensas se conceden tras su validación. No obstante, a veces puede llevar más tiempo investigar la gravedad de la vulnerabilidad y la recompensa puede tardar más en concederse.

Realiza pruebas únicamente con tu cuenta (o cuentas) al investigar errores, y no interactúes con otras cuentas ni realices acciones que puedan perjudicar a otros usuarios o vulnerar su intimidad. Para poder optar a las recompensas es necesario cumplir todas las normas.

Recompensas

Recibe asistencia por chat más rápido en tu cuenta de [Xsolla Wallet](https://wallet.xsolla.com/).

¿Necesitas ayuda?

Accede a tu Cuenta Xsolla para empezar.

Sube un archivo de un tamaño máximo de 10 mb.

El archivo supera el límite de tamaño.

Solo se admiten archivos MP4, MOV, JPG, PNG y GIF.

Tipo de archivo no válido

¡Gracias!

En caso de sustitución, no se puede cambiar la dirección de devolución.

Te contestaremos a tu dirección de correo electrónico cuando hayamos procesado la solicitud.

VULNERABILIDAD	RANGO DE GRAVEDAD
Ejecución remota de código	Crítico
Inyección SQL	Alto - Crítico
XXE	Alto - Crítico
XSS almacenada	Medio - Alto
Falsificación de peticiones del servidor (SSRF)	Alto - Crítico
Salto de directorio - inclusión de archivos locales	Alto
Evasión de la autenticación o autorización (pérdida de control de acceso)	Medio - Alto
Referencia directa de objetos no seguros (IDOR)	Medio - Alto
XSS reflejada	Medio
Error de configuración	Bajo - Alto
Engaño de caché web	Bajo - Medio
Error de configuración CORS	Bajo - Medio
Inyección CRLF	Bajo - Medio
Falsificación de peticiones en sitios cruzados (CSRF)	Bajo - Alto
Redirección abierta	Bajo - Medio
Filtración de datos	Bajo - Medio
Escalada de privilegios	Medio - Alto