Bug Bounty-politik

Paxful, Inc. (også kaldet "Paxful," "vi", "os" eller "vores") tager skridt til at forbedre vores produkt og levere sikre løsninger til vores kunder. I denne Bug Bounty-politik ("Politik") beskriver vi anvendelige sager for vores Bug Bounty-program, og hvordan det skal bruges i forbindelse med din brug af vores websted på https://paxful.com/, herunder, men ikke begrænset til, Paxful-pungen, den online Bitcoin-handelsplatform, den mobile applikation, sociale mediesider eller andre onlinesteder (samlet "Webstedet"), eller når du bruger et af produkterne, tjenesterne, indholdet, funktionerne , teknologier eller funktioner, vi tilbyder (samlet set "Tjenester"). Denne politik er designet til at hjælpe dig med at få oplysninger om, hvordan du kan deltage i vores Bug Bounty-program, hvilke sikre forskningsresultater er gældende, og hvilke fordele du kan modtage. Bemærk, at vores servicetilbud kan variere efter region.

Til alle formål skal den engelsksprogede version af denne bug bounty-politik være det originale, gældende instrument. I tilfælde af konflikt mellem den engelsksprogede version af denne bug bounty-politik og enhver efterfølgende oversættelse til ethvert andet sprog, vil den engelsksprogede version være gældende og kontrollere.

Hvad er Bug Bounty-programmet?

For at forbedre Paxful og tjenesterne giver Paxful Bug Bounty-programmet vores brugere en mulighed for at optjene en belønning for at identificere tekniske problemer.

Hvordan kan du kommunikere dine fund fra Bug Bounty-programmet til os?

Al sådan kommunikation skal rettes til [email protected] I din indsendelse bedes du angive den fulde beskrivelse af sårbarheden og det verificerbare bevis for, at sårbarheden eksisterer (forklaring / trin til gengivelse / skærmbilleder / videoer / scripts eller andet materiale).

Programregler

Overtrædelse af nogen af disse regler kan resultere i ikke-berettigelse til en bounty.

  • Test kun sårbarheder mod en konto, som du ejer, eller konti, som du har tilladelse fra kontohaveren til at teste mod.
  • Brug aldrig et fund til at kompromittere/exfiltrere data eller dreje til andre systemer. Brug kun et bevis på konceptet for at demonstrere et problem.
  • Hvis der er adgang til følsomme oplysninger såsom personlige oplysninger, legitimationsoplysninger osv. som en del af en sårbarhed, må de ikke gemmes, gemmes, overføres, tilgås eller på anden måde behandles efter den første opdagelse.
  • Forskere må ikke og er ikke autoriserede til at deltage i nogen aktivitet, der ville være forstyrrende, skadelig eller harmfuld for Paxful.
  • Forskere må ikke offentliggøre sårbarheder (dele nogen som helst detaljer med andre end autoriserede Paxful-medarbejdere) eller på anden måde dele sårbarheder med en tredjepart uden Paxfuls udtrykkelige tilladelse.

Hvordan vurderer vi problemer identificeret under Bug Bounty-programmet?

Alle fund evalueres ved hjælp af en risikobaseret tilgang.

Ikke-oplysningsaftale

Inden vi begynder at diskutere detaljer i forbindelse med bekræftede problemer, som du har identificeret under Bug Bounty-programmet, herunder kompensation osv., Bliver du bedt om at indgå en aftale om fortrolighed med os.

Hvordan udbetaler vi belønninger for Bug Bounty-programmet?

Alle sådanne belønninger betales af Paxful. Alle belønninger kan kun betales, hvis de ikke er i strid med gældende love og regler, herunder men ikke begrænset til handelssanktioner og økonomiske begrænsninger.

Hvor lang tid tager det os at analysere dine Bug Bounty-programresultater?

På grund af den skiftende og komplekse karakter af tekniske problemer, har vi ikke etableret bestemte tidslinjer til analyse af fund under Bug Bounty-programmet. Vores analyse er først færdig, når vi har bekræftet eksistensen eller fraværet af en sårbarhed.

Hvilke sager er udelukket fra Bug Bounty-programmet?

Visse sårbarheder betragtes som uden for anvendelsesområdet for Bug Bounty-programmet. Disse sårbarheder uden for anvendelsesområdet inkluderer, men er ikke begrænset til:

  • Spam;
  • Sårbarheder, der kræver social engineering/phishing;
  • DDOS angreb;
  • Hypotetiske spørgsmål, der ikke har nogen praktisk indvirkning;
  • Sikkerhedssårbarheder i tredjepartsapplikationer og på tredjepartswebsteder integreret med Paxful;
  • Scanneroutput eller scannergenererede rapporter;
  • Problemer fundet ved automatiseret test;
  • Offentligt frigivne fejl i internetsoftware inden for 30 dage efter offentliggørelsen;
  • Mellemmand angreb;
  • Host header injektioner uden en specifik, påviselig indvirkning;
  • Selv-XSS, som inkluderer enhver nyttelast, som offeret har indtastet;
  • Log ind / log ud CSRF;

Flere informationer

Hvis du leder efter flere oplysninger om denne politik, kan du kontakte os via e-mail på [email protected].