Règles du Programme

Règles d'engagement

En participant à Bug2Pay, vous vous engagez à :

  • Agir de manière éthique et responsable
  • Respecter les lois applicables de votre pays
  • Ne jamais exploiter une vulnérabilité à des fins malveillantes
  • Signaler immédiatement toute vulnérabilité découverte
  • Ne jamais divulguer publiquement une vulnérabilité avant correction
  • Ne jamais extorquer ou menacer les entreprises

Tests autorisés

Tests dans le scope

Uniquement les domaines/IPs spécifiés dans chaque programme

Lecture seule

Pas de modification, suppression ou création de données

Tests sur vos propres comptes

Ne testez jamais sur les comptes d'autres utilisateurs

Tests interdits

Accès non autorisé aux données

Jamais accéder aux données personnelles d'autres utilisateurs

Déni de service (DoS/DDoS)

Pas de tests de charge ou d'attaques DoS

Social engineering

Pas de phishing ou manipulation d'employés

Modification de données

Pas de suppression, modification ou création de données

Tests physiques

Pas d'accès physique aux locaux des entreprises

Exclusions

Les types de vulnérabilités suivants ne sont généralement pas éligibles aux primes :

  • Vulnérabilités déjà connues ou publiques
  • Problèmes de spam ou courrier indésirable
  • Bugs d'interface utilisateur sans impact sécurité
  • Vulnérabilités nécessitant un accès physique
  • Self-XSS ou bugs nécessitant une action de la victime
  • Headers de sécurité manquants ( CSP, HSTS, X-Frame-Options )

Sanctions

Tout non-respect de ces règles peut entraîner :
• Suspension temporaire ou permanente de votre compte
• Annulation des primes en attente
• Poursuites légales si applicable
• Signalement aux autorités compétentes