Política de recompensas por detección de errores

En Paxful, Inc. (también denominada "Paxful", "nosotros" o "nuestro") tomamos medidas para mejorar nuestro producto y ofrecer soluciones seguras a nuestros clientes. En esta Política de recompensas por detección de errores (la "Política") describimos los casos aplicables de nuestro Programa de recompensas por detección de errores y cómo debe usarse en relación con tu uso de nuestro sitio web ubicado en https://paxful.com/, que incluye, entre otros, el Monedero Paxful, la plataforma de transacciones de bitcoin en línea, la aplicación móvil, las páginas de redes sociales y otras propiedades en línea (colectivamente, el "Sitio web"), o cuando usas cualquiera de los productos, servicios, contenidos, funcionalidades, tecnologías o funciones que ofrecemos (colectivamente, los "Servicios"). Esta Política está diseñada para ayudarte a obtener información sobre cómo puedes participar en nuestro Programa de recompensas por detección de errores, qué resultados de análisis de seguridad son aplicables y qué beneficios puedes obtener. Por favor, ten en cuenta que nuestra oferta de servicios puede variar según la región.

Para todos los propósitos, la versión en inglés de esta Política de recompensas por detección de errores será el instrumento original autorizado. En caso de discrepancias entre la versión en inglés de esta Política de recompensas por detección de errores y la traducción posterior a otro idioma, la versión en inglés prevalecerá y será la autorizada.

¿Qué es el Programa de recompensas por detección de errores?

Con el fin de mejorar Paxful y nuestros Servicios, el Programa de recompensas por detección de errores brinda a nuestros usuarios la oportunidad de obtener una recompensa por identificar problemas técnicos.

¿Cómo puedes comunicarnos tus hallazgos en relación al Programa de recompensas por detección de errores?

Dichas comunicaciones deben dirigirse a [email protected] Al presentarlas, especifica una descripción completa de la vulnerabilidad y una prueba verificable de que la vulnerabilidad existe (explicación / pasos para reproducir / capturas de pantalla / vídeos / guiones o cualquier otro material).

Reglas del programa

Violar cualquiera de estas reglas puede resultar en la inelegibilidad de una recompensa.

  • Prueba las vulnerabilidades de una cuenta que posees o de cuentas de las que tengas consentimiento del titular para probarlas.
  • No utilices nunca un hallazgo para comprometer/exfiltrar datos o para cambiar hacia otros sistemas. Utiliza una prueba de concepto solo para demostrar un problema.
  • Si se accede a información sensible, como información personal, credenciales, etc., como parte de una vulnerabilidad, no debe guardarse, almacenarse, transferirse, acceder a ella o procesarse de otro modo después del descubrimiento inicial.
  • Los investigadores no pueden ni están autorizados a participar en ninguna actividad que sea perturbadora, dañina o perjudicial para Paxful.
  • Los investigadores no pueden revelar públicamente las vulnerabilidades (compartiendo cualquier detalle con cualquier persona que no sea un empleado autorizado de Paxful), o de otra manera compartir las vulnerabilidades con un tercero sin el permiso expreso de Paxful.

¿Cómo evaluamos los problemas identificados en el Programa de recompensas por detección de errores?

Todos los hallazgos se evalúan utilizando un enfoque basado en los riesgos.

Acuerdo de confidencialidad

Antes de comenzar a discutir cualquier asunto relacionado con errores confirmados que hayas identificado en el marco del Programa de recompensas por detección de errores, incluyendo la compensación económica, etc., deberás celebrar con nosotros un Acuerdo de confidencialidad.

¿Cómo pagamos las recompensas del Programa de recompensas por detección de errores?

Paxful se encarga del pago de todas estas recompensas. Cualquier recompensa se podrá pagar únicamente si no viola ninguna ley o normativa aplicable, incluyendo, sin limitación, sanciones comerciales y restricciones económicas.

¿Cuánto tiempo nos llevará analizar tus hallazgos en el marco del Programa de recompensas por detección de errores?

Debido a la naturaleza compleja y variable de los problemas técnicos, no hemos establecido plazos específicos analizar los hallazgos en el marco del Programa de recompensas por detección de errores. Nuestro análisis se termina únicamente cuando hayamos confirmado la existencia o ausencia de una vulnerabilidad.

¿Qué casos están excluidos del Programa de recompensas por detección de errores?

Ciertas vulnerabilidades se consideran fuera del alcance del programa Bug Bounty. Esas vulnerabilidades fuera de alcance incluyen, pero no se limitan a:

  • Spam;
  • Vulnerabilidades que requieren ingeniería social/phishing;
  • Ataques DDOS;
  • Problemas hipotéticos que no tienen ningún impacto práctico;
  • Vulnerabilidades de seguridad en aplicaciones de terceros y en sitios web de terceros integrados con Paxful;
  • Salidas de analizador o informes generados por analizadores;
  • Problemas encontrados a través de pruebas automatizadas;
  • Los fallos en los programas de Internet que se publican en un plazo de 30 días a partir de su divulgación;
  • Ataques de intermediarios;
  • Inyecciones de encabezado sin impacto específico, demostrable;
  • Self-XSS, que incluye cualquier carga introducida por la víctima;
  • Inicio/cierre de sesión CSRF;

Más información

Si estás buscando más información sobre esta Política, puedes contactarnos por correo electrónico escribiendo a [email protected].