Bug-Bounty-Policy

Paxful, Inc. (auch als "Paxful", "wir", "uns" oder "unser" bezeichnet) unternimmt Schritte zur Verbesserung unseres Produkts und zur Bereitstellung sicherer Lösungen für unsere Kunden. In dieser Bug-Bounty-Policy ("Richtlinie") beschreiben wir die für unser Bug-Bounty-Programm geltenden Fälle und deren Verwendung im Zusammenhang mit Ihrer Nutzung unserer Webseite unter https://paxful.com/, einschließlich, aber nicht beschränkt auf die Paxful-Wallet, die Online-Bitcoin-Handelsplattform, die mobile App, die Social-Media-Seiten oder sonstige Online-Präsenzen (zusammen die "Webseite"), oder wenn Sie eines der von uns angebotenen Produkte, Dienste, Inhalte, Features, Technologien oder Funktionen verwenden (zusammen die "Dienstleistungen"). Diese Richtlinie soll Sie darüber informieren, wie Sie an unserem Bug-Bounty-Programm teilnehmen können, welche sicheren Forschungsergebnisse anwendbar sind und welche Vorteile Ihnen bei Teilnahme offenstehen. Bitte beachten Sie, dass unsere Dienstleistungsangebote regional variieren können.

Für alle Zwecke ist die englische Version dieser Bug-Bounty-Policy das maßgebliche Originalinstrument. Im Falle eines Konflikts zwischen der englischen Sprachversion dieser Bug-Bounty-Policy und einer nachfolgenden Übersetzung in eine andere Sprache ist die englische Sprachversion bestimmend und maßgeblich.

Was ist das Bug-Bounty-Programm?

Um Paxful und die bereitgestellten Dienstleistungen zu verbessern, bietet das Paxful-Bug-Bounty-Programm unseren Benutzern die Möglichkeit, eine Prämie für die Identifizierung technischer Probleme zu erhalten.

Wie können Sie uns die Ergebnisse Ihres Bug-Bounty-Programms mitteilen?

Alle Mitteilungen in diesem Kontext sind an [email protected] zu richten. Bitte geben Sie bei Ihrer Bug-Bounty-Einreichung eine vollständige Beschreibung der Schwachstelle sowie überprüfbare Beweise für die Existenz der Schwachstelle an (Erläuterung / Schritt-für-Schritt-Anleitung zur Reproduktion / Screenshots / Videos / Skripte oder andere Materialien).

Regeln des Programms

Ein Verstoß gegen eine dieser Regeln kann einen Ausschluss des Prämienanspruchs nach sich ziehen.

  • Der Test auf Schwachstellen darf nur von einem Konto erfolgen, dessen Inhaber Sie sind oder dessen Inhaber Ihnen die Einwilligung für diesen Test erteilt hat.
  • Gefundene Schwachstellen dürfen nicht verwendet werden, um Daten zu kompromitieren/auszuschleusen oder auf ein anderes System umzuleiten. Der Proof of Concept ist nur zur Nachvollziehbarkeit eines Problems zu verwenden.
  • Wenn infolge der Schwachstelle Zugang auf sensible Daten wie persönliche Informationen, Anmeldedaten usw. erfolgt, dürfen diese nicht gesammelt, gespeichert, übertragen, ausgelesen oder nach der ersten Entdeckung auf andere Weise verarbeitet werden.
  • Forscher sind nicht ermächtigt, Handlungen vorzunehmen, die zum Schaden oder zur Gefährdung von Paxful führen könnten.
  • Forscher dürfen entdeckte Schwachstellen nicht öffentlich machen (Details mit Personen teilen, bei denen es sich nicht um autorisierte Paxful-Mitarbeiter handelt) oder ohne ausdrückliche Einwilligung von Paxful auf andere Weise mit Dritten teilen.

Wie bewerten wir Probleme, die im Rahmen des Bug-Bounty-Programms festgestellt wurden?

Alle Ergebnisse werden mit einem risikobasierten Ansatz bewertet.

Geheimhaltungsvereinbarung

Bevor wir Einzelheiten zu bestätigten Problemen besprechen, die Sie im Rahmen des Bug-Bounty-Programms festgestellt haben, einschließlich Entschädigung, usw., müssen Sie eine Geheimhaltungsvereinbarung mit uns abschließen.

Wie zahlen wir Prämien für das Bug-Bounty-Programm?

Alle diese Belohnungen werden von Paxful bezahlt. Alle Belohnungen können nur ausgezahlt werden, wenn sie nicht gegen geltende Gesetze und Vorschriften verstoßen, einschließlich, aber nicht beschränkt auf Handelssanktionen und wirtschaftliche Beschränkungen.

Wie lange wird es dauern, bis wir die Ergebnisse Ihres Bug-Bounty-Programms ausgewertet haben?

Aufgrund der Verschiedenartigkeit und Komplexität technischer Probleme haben wir im Rahmen des Bug-Bounty-Programms keine speziellen Zeitpläne für die Analyse der Ergebnisse festgelegt. Unsere Analyse ist erst abgeschlossen, wenn wir das Vorhandensein oder Nichtvorhandensein einer Sicherheitsanfälligkeit bestätigt haben.

Welche Fälle sind vom Bug-Bounty-Programm ausgeschlossen?

Einige Schwachstellen liegen außerhalb des Geltungsbereichs des Bug-Bounty-Programms, darunter u. a.:

  • Spam;
  • Schwachstellen, die Social Engineering/Phishing-Angriffe erfordern;
  • DDoS-Angriffe;
  • Hypothetische Probleme ohne praktische Auswirkungen;
  • Sicherheitslücken in Anwendungen von Drittanbietern und auf Webseiten von Drittanbietern, die in Paxful integriert sind;
  • Schwachstellen, die aufgrund von Scanner-Ergebnissen oder scanner-generierten Berichten identifiziert wurden;
  • Probleme, die durch automatisierte Tests festgestellt wurden;
  • Schwachstellen von Internetsoftware innerhalb eines 30-Tage-Zeitraums nach Veröffentlichung
  • Man-in-the-Middle-Angriffe;
  • Host-Header-Injektion ohne spezifische, nachweisbare Wirkung;
  • Nutzerinitiiertes webseitenübergreifendes Skripting (Self-XSS-Schwachstellen);
  • Webseitenübergreifende Anfragenfälschung (CSRF-Schwachstellen);

Weitere Informationen

Wenn Sie weitere Informationen zu dieser Richtlinie benötigen, können Sie uns eine E-Mail an [email protected] senden.