Pravilnik o programu za nagrajevanje napak

Podjetje Paxful, Inc. (v nadaljevanju »Paxful«, »mi«, »nas« ali »naše«) izvaja ukrepe za izboljšavo izdelkov in storitev ter za zagotavljanje varnosti naših uporabnikov. V tem pravilniku o programu za nagrajevanje napak (»pravilnik«) je s primeri pojasnjena uporaba tega programa v povezavi z vašo uporabo našega spletnega mesta https://paxful.com/ vključno (a ne omejeno nanje) z denarnico Paxful, našo spletno platformo za trgovanje z bitcoinom, mobilno aplikacijo, stranmi družabnih medijev in drugimi spletnimi mesti (skupaj »spletno mesto«), ali pri uporabi drugih izdelkov, storitev, vsebin, funkcij, tehnologij ali drugih ponujenih funkcij (skupaj »storitve«). Ta pravilnik je namenjen vašemu razumevanju, kako lahko sodelujete v tem programu, kateri rezultati raziskav varnosti so veljavni in kakšno nagrado lahko prejmete. Upoštevajte, da se lahko naše storitve razlikujejo glede na regijo.

Za vse namene je različica tega pravilnika v angleškem jeziku izvirni in temeljni dokument. Če pride do neskladja med različico tega pravilnika programa za nagrajevanje napak v angleškem jeziku in morebitnim poznejšim prevodom v kateri koli drug jezik, ima angleška različica prednost.

Kaj je Program za nagrajevanje napak?

Ker želimo izboljšati platformo Paxful in storitve, program za nagrajevanje napak podjetja Paxful uporabnikom omogoča, da si prislužijo nagrado za odkrivanje tehničnih težav.

Kako nam lahko sporočite najdene napake v okviru programa za nagrajevanje napak?

Vsa tovrstna sporočila morate poslati na naslov [email protected]. V sporočilu podajte celoten opis varnostne ranljivosti in dokaz, da ranljivost obstaja (pojasnilo/koraki za ponovitev težave/posnetki zaslona/video/skripte ali drugo gradivo).

Pravila programa

Kršitev teh pravil pomeni, da ne boste upravičeni do nagrade.

  • Ranljivosti preskušajte samo s svojim računom ali računom, za katerega imate pooblastilo imetnika računa.
  • Najdenih ranljivosti nikoli ne izkoristite za ogrožanje/zbiranje podatkov in jih ne pošiljajte drugam. Potrditev koncepta uporabite samo za prikaz težave.
  • Če so del odkrite ranljivosti tudi občutljivi osebni podatki, poverilnice in podobno, teh podatkov po odkritju ne smete shraniti, prenesti, dostopati do njih ali jih kakor koli drugače obdelovati.
  • Raziskovalci nimajo dovoljenja za dejavnosti, ki bi bile moteče ali škodljive za podjetje Paxful.
  • Raziskovalci ne smejo javno objavljati ranljivosti (svoja odkritja lahko delijo samo z zaposlenimi podjetja Paxful) ali jih deliti s tretjimi osebami brez izrecnega dovoljenja podjetja Paxful.

Kako ocenjujemo težave, odkrite v okviru programa za nagrajevanje napak?

Vsa odkritja ocenjujemo na podlagi tveganja.

Pogodba o nerazkritju

Pred začetkom pogovora o podrobnostih napak, ki jih odkrijete v okviru programa za nagrajevanje napak, vključno z nagrado in drugimi ugodnostmi, morate z nami podpisati pogodbo o nerazkritju.

Kako izplačujemo nagrade programa za nagrajevanje napak?

Vse nagrade izplačuje podjetje Paxful. Nagrade so lahko izplačane samo v primeru, če niso v nasprotju z veljavno zakonodajo, predpisi, vključno (a ne omejeno nanje) s trgovalnimi ali ekonomskimi sankcijami.

Kako dolgo traja analiza ugotovitev v programu za nagrajevanje napak?

Zaradi raznolikosti in kompleksnosti tehničnih napak nimamo določenih časovnih rokov za analizo ugotovitev v okviru programa za odpravljanje napak. Naša analiza je končana takrat, ko potrdimo obstoj ali neobstoj ranljivosti.

Kateri primeri napak niso vključeni v program za nagrajevanje napak?

Nekatere ranljivosti so zunaj obsega programa za nagrajevanje napak. To vključuje te ranljivosti (a ni omejeno nanje):

  • Neželena pošta;
  • Ranljivosti, za katere je potreben socialni inženiring/lažno predstavljanje;
  • Napadi DDOS;
  • Hipotetične težave brez praktičnega vpliva;
  • Varnostne ranljivosti v aplikacijah tretjih oseb in ranljivosti na spletnih mestih tretjih oseb, ki so povezane s platformo Paxful;
  • Rezultati pregledovanj ali poročila pregledov;
  • Težave, najdene s samodejnim preskušanjem;
  • Javno objavljeni hrošči v spletni programski opremi v 30 dneh od razkritja;
  • Napadi vmesnih členov;
  • Vstavljanje kode v glavo gostitelja brez določenega in dokazljivega vpliva;
  • Samodejno izvajanje skript (Self-XSS), kar vključuje tudi vnose žrtve;
  • Prijava v/odjava iz CSRF.

Več informacij

Če želite več informacij o tem pravilniku, nam lahko pišete na naslov [email protected].