Bug Bounty -ehdot

Paxful, Inc. (viitataan myös nimellä "Paxful", "me" tai "meidän") pyrkii parantamaan tuotteitamme ja tarjoamaan turvallisia ratkaisuja asiakkaillemme. Näissä Bug Bounty -ehdoissa ("Ehdot") kuvataan Bug Bounty -ohjelmaan soveltuvat tapaukset ja miten sitä tulisi käyttää verkkosivustomme käytön yhteydessä osoitteessa https://paxful.com/ , mukaan lukien muun muassa Paxful-lompakko, Bitcoinin verkkokaupankäyntialusta, mobiilisovellus, sosiaalisen median sivut tai muut online-ominaisuudet (yhdessä "Verkkosivusto"), tai kun käytät mitä tahansa tarjoamistamme tuotteista, palveluista, sisällöstä, ominaisuuksista, tekniikoista tai toiminnoista (yhdessä "Palvelut"). Näiden ehtojen tarkoituksena on auttaa sinua saamaan tietoa siitä, miten voit osallistua Bug Bounty -ohjelmaamme, mitkä turvalliset tutkimustulokset ovat käytettävissä ja mitä etuja voit saada. Huomaa, että palvelutarjontamme voi vaihdella alueittain.

Kaiken kaikkiaan näiden Bug Bounty -ehtojen englanninkielinen versio on alkuperäinen ohjaava asiakirja. Jos tämän Bug Bounty -ohjelman englanninkielisen version ja minkä tahansa muun käännöksen välillä on ristiriitoja, englanninkielinen versio hallitsee ja sitä sovelletaan.

Mikä on Bug Bounty -ohjelma?

Paxfulin ja Palveluiden parantamiseksi Paxfulin Bug Bounty -ohjelma tarjoaa käyttäjillemme mahdollisuuden ansaita palkkion teknisten ongelmien tunnistamisesta.

Kuinka voit välittää Bug Bounty -ohjelman havainnot meille?

Kaikki tällainen viestintä tulee ohjata osoitteeseen [email protected]. Viestissä on kuvattava havaittu haavoittuvuus täydellisesti ja toimitettava tarkistettavissa oleva todiste haavoittuvuuden todenperäisyydestä (selitys / vaiheet toistamiseen / kuvakaappaukset / videot / skriptit tai vastaavat materiaalit).

Ohjelman säännöt

Minkä tahansa näiden sääntöjen rikkominen voi johtaa siihen, ettei ole oikeutettu palkintoon.

  • Testaa haavoittuvuuksia vain omistamallasi tilillä tai tileillä, joiden testaamiseen sinulla on tilinhaltijan suostumus.
  • Älä koskaan käytä havaintoa tietojen vaarantamiseen/suodattamiseen tai muihin järjestelmiin pääsemiseen. Käytä todistetta käsitteestä vain ongelman osoittamiseen.
  • Jos arkaluontoisia tietoja, kuten henkilötietoja, tunnistetietoja jne. on osana haavoittuvuutta, niitä ei saa tallentaa, säilyttää, siirtää, käyttää tai muutoin käsitellä ensimmäisen löydön jälkeen.
  • Tutkijat eivät saa eikä heillä ole lupaa osallistua mihinkään toimintaan, joka voisi häiritä, haitata tai vahingoittaa Paxfulia.
  • Tutkijat eivät saa julkistaa haavoittuvuuksia (jakaa mitään yksityiskohtia kenellekään muulle kuin valtuutetuille Paxfulin työntekijöille) tai jakaa muuten haavoittuvuuksia kolmannen osapuolen kanssa ilman Paxfulin nimenomaista lupaa.

Kuinka arvioimme Bugi Bounty -ohjelmassa tunnistettuja asioita?

Kaikki havainnot arvioidaan käyttämällä riskiperusteista lähestymistapaa.

Salassapitosopimus

Ennen kuin aloitamme keskustelun vahvistetuista ongelmista, jotka olet tunnistanut Bug Bounty -ohjelmassa, mukaan lukien korvaukset jne. sinun on tehtävä kanssamme Salassapitosopimus.

Kuinka maksamme Bug Bounty -ohjelman palkkiot?

Paxful maksaa kaikki tällaiset palkkiot. Kaikki palkkiot voidaan maksaa vain, jos ne eivät ole ristiriidassa sovellettavien lakien ja asetusten kanssa, mukaan lukien muun muassa kauppasanktiot ja taloudelliset rajoitukset.

Kuinka kauan Bug Bounty -ohjelman havaintojen analysointi kestää?

Teknisten kysymysten vaihtelevan ja monimutkaisen luonteen vuoksi emme ole vahvistaneet erityisiä aikatauluja Bug Bounty -ohjelman havaintojen analysoimiseen. Analyysimme on valmis vasta, kun olemme vahvistaneet haavoittuvuuden olemassaolon tai puuttumisen.

Mitkä tapaukset jätetään Bug Bounty -ohjelman ulkopuolelle?

Tiettyjä haavoittuvuuksien katsotaan kuuluvan Bug Bounty -ohjelman ulkopuolelle. Näitä ulkopuolisia haavoittuvuuksia ovat muun muassa seuraavat:

  • Roskaposti;
  • Haavoittuvuudet, jotka vaativat sosiaalista manipulointia / tietojenkalastelua;
  • Palvelunestohyökkäykset;
  • Hypoteettiset kysymykset, joilla ei ole mitään käytännön vaikutusta;
  • Paxfuliin integroitujen kolmansien osapuolten sovellusten ja kolmansien osapuolten verkkosivustojen tietoturva-aukot;
  • Skannerin tuotos tai skannerin luomat raportit;
  • Automatisoidun testauksen avulla löydetyt ongelmat;
  • Julkisesti julkaistut Internet-ohjelmistovirheet 30 päivän kuluessa niiden paljastamisesta;
  • Välistävetohyökkäys;
  • Host header -hyökkäykset ilman erityistä, todistettavaa vaikutusta;
  • Self-XSS, joka sisältää kaiken uhrin syöttämän hyötykuorman;
  • Sisäänkirjautuminen/uloskirjautuminen CSRF;

Lisää tietoa

Jos etsit lisätietoja tästä Käytännöstä, voit ottaa meihin yhteyttä lähettämällä sähköpostia osoitteeseen [email protected].