버그 바운티 정책

Paxful, Inc.("Paxful” 또는 "당사”라고 함)는 당사의 제품을 개선하고 고객에게 보안 솔루션을 제공하기 위한 조치를 취합니다. 본 버그 바운티 정책("정책”)에서는 당사의 버그 바운티 프로그램에 해당하는 사례를 설명하고 귀하가 https://paxful.com/을 비롯해 Paxful 지갑, 온라인 비트코인 거래 플랫폼, 모바일 애플리케이션, 소셜 미디어 페이지 또는 기타 온라인 자산 등 당사의 웹사이트(통칭하여 "웹사이트")를 이용하거나 당사가 제공하는 제품, 서비스, 콘텐츠, 특징, 기술 또는 기능(통칭하여 "서비스")을 사용하는 것과 관련하여 해당 프로그램이 사용되는 방식을 설명합니다. 본 정책은 귀하가 당사의 버그 바운티 프로그램에 참여할 수 있는 방법과 적용 가능한 보안 검색 결과 및 귀하에게 제공되는 혜택에 관한 정보를 귀하가 얻을 수 있도록 돕기 위해 작성되었습니다. 단, 당사의 서비스 제공 내용은 지역마다 다를 수 있습니다.

본 버그 바운티 정책의 영어 버전은 모든 목적에서 가장 우선되는 원본 문서입니다. 본 버그 바운티 정책의 영어 버전과 추후 다른 언어로 번역된 문서 간에 상충된 내용이 있는 경우 영어 버전이 우선합니다.

버그 바운티 프로그램 소개

Paxful 및 해당 서비스를 개선하기 위해 Paxful 버그 바운티 프로그램에서는 기술적 문제를 식별하면 보상을 얻을 수 있는 기회를 사용자들에게 제공하고 있습니다.

버그 바운티 프로그램에서 귀하가 찾은 문제를 당사에 알리는 방법은 무엇일까요?

문제를 알릴 때는 [email protected] 주소로 직접 연락하셔야 합니다. 문제 보고서 제출 시 보안 취약점을 완전히 설명해주시고, 이러한 취약점이 존재한다는 사실을 입증해주는 증거(설명/보안 문제의 재현 방법/스크린샷/동영상/스크립트 또는 기타 자료)도 제출하시기 바랍니다.

프로그램 규칙

본 규칙 조항을 위반하는 경우 바운티를 받을 자격을 상실합니다.

  • 귀하가 소유한 계정이나 계정 소유주에게서 테스트를 수행해도 좋다고 동의를 받은 계정으로만 보안 취약점을 테스트해야 합니다.
  • 발견한 보안 취약점으로 데이터를 손상/유출하거나 다른 시스템으로 피벗하지 말아야 합니다. 개념 증명은 문제점을 설명하는 용도로만 사용하시기 바랍니다.
  • 보안 취약점의 일부로 인하여 개인정보, 자격 증명 등의 민감한 정보에 액세스할 수 있는 경우, 보안 취약점의 최초 발견 후 이러한 정보를 저장, 보관, 전송, 액세스 또는 기타 방식으로 처리하지 말아야 합니다.
  • 보안 취약점을 연구하는 사람은 Paxful에 차질을 일으키거나 손상, 위해를 가하는 행동을 할 수 없습니다.
  • 보안 취약점을 연구하는 사람은 Paxful의 명시적인 허용 없이 보안 취약점을 공개하거나('공개'란 권한을 가진 담당 Paxful 직원 외의 타인에게 보안 취약점 관련 정보를 공유하는 행위를 말합니다), 기타 방식으로 제3자에게 보안 취약점 정보를 공유하는 행위를 하지 말아야 합니다.

당사가 버그 바운티 프로그램을 통해 식별된 문제를 평가하는 방법은 무엇일까요?

발견된 모든 문제는 위험 기반 접근방식을 사용해 평가됩니다.

기밀유지계약

귀하가 버그 바운티 프로그램에 참여하여 식별하고 확인된 문제와 관련하여 보상 등의 세부적 논의를 당사와 진행하기 전에 귀하는 비공개 계약을 체결해야 합니다.

당사는 버그 바운티 프로그램의 보상을 어떤 방식으로 지불할까요?

그러한 모든 보상은 Paxful에서 지불합니다. 모든 보상은 거래 제한 및 경제적 제한을 비롯해 준거법 및 규정에 위배되지 않는 경우에만 지불할 수 있습니다.

버그 바운티 프로그램에서 귀하가 찾은 문제를 당사가 분석하는 데 얼마나 걸릴까요?

기술적 문제의 다양하고 복잡한 특성 때문에 당사는 버그 바운티 프로그램을 통해 식별된 문제를 분석하기 위해 특별한 일정을 세우지 않습니다. 당사의 분석 작업은 해당 취약점의 존재 여부를 당사가 확인했을 때만 완료됩니다.

버그 바운티 프로그램에서 제외되는 사례는 무엇일까요?

특정 보안 취약점은 버그 바운티 프로그램의 범위에 해당하지 않습니다. 이렇듯 프로그램 범위에 해당하지 않는 취약점의 예시는 아래와 같습니다(단, 이에 한정하지 않습니다).

  • 스팸
  • 소셜 엔지니어링(사회공학)/피싱으로 인해 발생하는 보안 취약점
  • DDOS 공격
  • 실제로 영향을 미치지 않는 가상의 문제
  • Paxful과 통합된 제3자 애플리케이션 및 제3자 웹사이트에서 발견된 보안 취약점
  • 스캐너 출력 또는 스캐너로 생성된 보고서
  • 자동화된 테스트를 통해 발견된 문제
  • 인터넷에서 공개적으로 발표되었으며, 발표된 지 30일이 지나지 않은 버그
  • 중간자 공격(MITM)
  • 구체적으로 설명 가능한 영향을 미치지 않는 호스트 헤더 삽입
  • 공격 대상자가 페이로드를 입력한 셀프 XSS
  • 로그인/로그아웃 CSRF

추가 정보

본 정책에 관해 추가 정보를 알고 싶으신 경우 [email protected]으로 연락해주십시오.