バグ報奨金ポリシー

Paxful, Inc.(または「Paxful」、「当社」、「私たち」、「我々」とも呼ばれる)は当社の製品を改善し、当社がお客様に安全なソリューションをお届けするために必要な措置を講じています。このバグ報奨金ポリシー(「ポリシー」)では、当社バグ報奨金プログラムの適用対象となる事例と、お客様によるPaxfulウォレットや、オンラインビットコイン取引プラットフォーム、モバイルアプリケーション、ソーシャルメディアページ、およびその他のオンライン資産(総称して「ウェブサイト」と記載)など(ただし、これらに限定されない)の当社ウェブサイト(https://paxful.com/)の利用、または当社が提供する何らかの製品、サービス、コンテンツ、特徴、技術、機能(総称して「サービス」と記載)の利用に関する本バグ報奨金プログラムの利用方法をご説明します。このポリシーは当社バグ報奨金プログラムへの参加方法、対象となるセキュリティ調査結果、ならびにお客様が享受できるメリットに関する情報を提供する目的で策定しています。当社のサービス提供内容は地域によって異なる場合がありますのでご注意ください。

本書において、このバグ報奨金ポリシーの英語版が正式な管理文書となります。このバグ報奨金ポリシーの英語版と英語版以降他の言語に翻訳された内容に齟齬がある場合、英語版が優先され、法的拘束力を持つものとします。

バグ報奨金プログラムとは?

Paxfulとそのサービスを改善するため、Paxfulのバグ報奨金プログラムでは技術的な問題を特定したユーザーが報酬を獲得できる機会を設けています。

バグ報奨金プログラムの調査結果を当社に伝える方法

このような連絡はすべて、[email protected]に送信してください。送信時には、脆弱性についての完全な説明と、脆弱性が存在することの検証可能な証拠を指定してください(説明、再現手順、スクリーンショットやビデオ、スクリプトなどの資料)。

プログラムルール

これら規則のいずれかでも違反すると、報奨金の資格を失う可能性があります。

  • 自分が所有するアカウント、またはアカウント所有者からテストの同意を得ているアカウントに対してのみ脆弱性をテストします。
  • 調査結果を使用してデータを危険にさらしたり、盗み出したり、他のシステムとの連携に利用しないでください。概念実証は、問題を実証するためにのみ使用してください。
  • 脆弱性の一部として個人情報や認証情報などの機密情報にアクセスする場合は、最初の発見後に保存、保管、転送、アクセス、またはその他の方法で処理してはなりません。
  • 研究者はPaxfulに破壊的、損害を与える、または有害となるような活動に従事することはできず、またそのような活動を行うことも許可されていません。
  • 研究者は、Paxfulの明示的な許可なしに、脆弱性を公に開示したり(Paxfulの許可された従業員以外の人と詳細を共有したり)、または第三者と脆弱性を共有することはできません。

バグ報奨金プログラムの下で発見された問題に対する当社の評価方法

すべての調査結果はリスクベースの手法を用いて評価されます。

機密保持契約

報酬等を含め、お客様がバグ報奨金プログラムの下で発見した問題の承認に関する詳細について議論する前に、当社とお客様との間で秘密保持契約を締結する必要があります。

バグ報奨金プログラムの報酬の支払い方法について

かかる報酬はすべてPaxfulがお支払いします。適用法(貿易制裁や経済制裁を含むが、これに限定されるものではない)に違反しない場合にのみ、すべての報酬をお支払い可能です。

当社がバグ報奨金プログラムの調査結果の分析に要する時間

技術的な問題の性質は多様かつ複雑であるため、バグ報奨金プログラムの下での調査結果の分析に関して特定のスケジュールは設けておりません。当社の分析は、脆弱性の有無を確認した場合にのみ終了します。

バグ報奨金プログラムの対象外となる事例

一部の脆弱性は、バグ報奨金プログラムの対象外と見なされます。これら対象外の脆弱性には、以下などが含まれます。

  • 迷惑メール
  • ソーシャルエンジニアリングやフィッシングを必要とする脆弱性;
  • DDOS攻撃
  • 現実に影響を及ぼさない架空の問題;
  • 第三者のアプリケーションおよびPaxfulを統合した第三者ウェブサイトのセキュリティ脆弱性
  • スキャナーの出力結果またはスキャナーによって生成されたレポート;
  • 自動テストによって発見された問題
  • インターネットソフトウェアで公開されてから30日以内のバグ;
  • 中間者攻撃;
  • 具体的且つ実証可能な影響のないHostヘッダインジェクション
  • 被害者が入力したペイロードが含まれるSelf-XSS;
  • ログイン/ログアウトCSRF;

詳細情報

このポリシーに関するより詳細な情報が必要な場合は、[email protected] までメールでお問い合わせください。