Kebijakan Bug Bounty

Paxful, Inc. (disebut juga sebagai “Paxful” atau “kami”) mengambil langka-langkah untuk meningkatkan produk kami dan menyediakan solusi aman untuk pelanggan kami. Dalam kebijakan Bug Bounty (“Kebijakan”) ini, kami menjelaskan hal-hal yang berlaku untuk Program Bug County kami dan penggunaannya sehubungan dengan penggunaan situs web kami oleh Anda di https://paxful.com/, termasuk, namun tidak terbatas pada Dompet Paxful, platform jual beli Bitcoin online, aplikasi seluler, halaman media sosial, atau properti online lainnya (secara bersama-sama disebut sebagai “Situs Web”), atau saat Anda menggunakan produk, layanan, konten, fitur, teknologi, atau fungsi yang kami tawarkan (secara bersama-sama disebut sebagai “Layanan”), Kebijakan ini dirancang untuk membantu Anda mendapatkan informasi tentang cara agar Anda dapat berpartisipasi dalam Program Bug Bounty yang menerapkan pencarian riset aman serta yang memberikan manfaat kepada Anda. Harap diperhatikan bahwa penawaran Layanan kami di setiap wilayah bervariasi.

Untuk semua keperluan, versi bahasa Inggris dari kebijakan bug bounty ini harus menjadi instrumen yang asli dan mengatur. Jika ada konflik apa pun antara versi bahasa Inggris kebijakan bug bounty ini dan terjemahan apa pun setelah itu ke dalam bahasa lain apa pun, versi bahasa Inggris yang mengatur dan mengendalikan.

Apa yang dimaksud dengan Program Bug Bounty?

Agar dapat meningkatkan Paxful dan Layanan, Program Bug Bounty Paxful memberi para pengguna kami peluang untuk memperoleh imbalan jika mengetahui ada masalah teknis.

Bagaimana Anda dapat menyampaikan temuan Program Bug Bounty Anda kepada kami?

Semua komunikasi terkait harus diarahkan ke [email protected] Harap cantumkan deskripsi lengkap kerentanan dan bukti yang dapat diverifikasi terkait kerentanan yang ada (penjelasan / langkah-langkah untuk memperbanyak / tangkap layar / video / skrip atau material terkait lainnya) dalam komunikasi yang dikirimkan.

Aturan Program

Pelanggaran terhadap aturan ini dapat mengakibatkan diskualifikasi bounty.

  • Hanya lakukan uji kerentanan pada akun Anda atau akun dari pemilik akun yang telah memberikan izin uji kepada Anda.
  • Jangan pernah menggunakan temuan untuk membahayakan/mengeksfiltrasi data atau melakukan pivot ke sistem lain. Hanya gunakan bukti konsep untuk menunjukkan masalah.
  • Jika informasi sensitif seperti informasi pribadi, kredensial, dll. diakses sebagai bagian dari kerentanan, informasi tersebut tidak boleh disimpan, didokumentasikan, dipindahkan, diakses, atau diproses setelah penemuan awal.
  • Peneliti tidak boleh dan tidak diizinkan untuk terlibat dalam aktivitas apa pun yang akan mengganggu, merusak, atau membahayakan Paxful.
  • Peneliti tidak boleh mengungkapkan kerentanan kepada publik (membagikan detail apa pun kepada siapa pun selain karyawan Paxful yang berwenang), atau menyampaikan kerentanan kepada pihak ketiga tanpa izin resmi Paxful.

Bagaimana kami mengevaluasi masalah yang diketahui di bawah Program Bug Bounty?

Semua temuan dievaluasi dengan menggunakan pendekatan berbasis risiko.

Persetujuan untuk Tidak Mengungkapkan

Sebelum kami mulai membahas detail apa pun yang terkait dengan masalah yang telah dipastikan yang telah Anda temukan di bawah Program Bug Bounty, termasuk kompensasi, dll., Anda akan diwajibkan untuk menandatangani Persetujuan untuk Tidak Mengungkapkan bersama kami.

Bagaimana kami membayar imbalan Program Bug Bounty?

Semua imbalan tersebut dibayar oleh Paxful. Semua imbalan hanya dapat dibayarkan jika tidak bertentangan dengan hukum dan peraturan yang berlaku, termasuk tetapi tidak terbatas pada sanksi dagang dan pembatasan ekonomi.

Berapa lama waktu yang kami butuhkan untuk menganalisis temuan Program Bug Bounty Anda?

Karena sifat masalah teknis yang beragam dan kompleks, kami tidak menentukan jangka waktu tertentu untuk menganalisis temuan di bawah Program Bug Bounty. Analisis kami hanya selesai jika kami telah memastikan keberadaan atau ketiadaan suatu kerawanan.

Kasus apa saja yang dikecualikan dari Program Bug Bounty?

Kerentanan tertentu dianggap tidak termasuk dalam ruang lingkup Program Bug Bounty. Kerentanan yang berada di luar ruang lingkup termasuk, namun tidak terbatas pada:

  • Spam;
  • Kerentanan yang memerlukan rekayasa sosial/phising;
  • Serangan DDOS;
  • Isu hipotesis yang tidak memiliki dampak praktis;
  • Kerawanan keamanan pada aplikasi pihak ketiga dan di situs web pihak ketiga yang terintegrasi dengan Paxful;
  • Output pemindai atau laporan yang dihasilkan pemindai;
  • Masalah-masalah yang ditemukan melalui pengujian otomatis;
  • Bug yang dirilis secara publik di perangkat lunak internet dalam waktu 30 hari sejak pengungkapannya;
  • Serangan Man-in-the-Middle;
  • Host header injection tanpa dampak yang spesifik atau dapat dibuktikan;
  • Self-XSS yang meliputi payload yang dimasukkan korban;
  • Masuk/keluar CSRF;

Informasi Selengkapnya

Jika Anda mencari lebih banyak informasi tentang Kebijakan ini, Anda dapat menghubungi kami dengan mengirimkan email ke [email protected].