Patakaran ng Bug Bounty

Ang Paxful, Inc. (na tinutukoy din bilang “Paxful,” “kami,” “tayo,” o “amin”) ay nagsasagawa ng mga hakbang upang paghusayin ang aming mga produkto at magbigay ng ligtas na solusyon para sa aming mga customer. Dito sa Bug Bounty Policy (“Patakaran”), inilalarawan namin ang naaangkop na mga kaso para sa aming Bug Bounty Program at kung paano ito gagamitin may kinalaman sa paggamit namin ng aming website sahttps://paxful.com/, kabilang ngunit hindi limitado sa Paxful Wallet, online Bitcoin trading platform, mobile application, mga social media page, o iba pang mga online property (sama-samang, ang “Website”), o kapag ginagamit mo ang alinman sa mga produkto, mga serbisyo, content, feature, technolohiya, o function na aming inaalok (na sama-samang, ang “Mga Serbisyo”). Ang patakaran na ito ay diniseyo upang tulungan kang makuha ang impormasyon tungkol sa kung paano lalahok sa aming Bug Bounty Program, kung saan ang ligtas na pananaliksik ay naaangkop, at kung alin sa mga benepisyo ang iyong matatangap.

Para sa lahat ng mga layunin, ang bersyon ng wikang Ingles sa patakaran ng bug bounty na ito ay dapat ang orihinal, namamahalang instrumento. Sa pagganap ng anumang salungatan sa pagitan ng bersyon ng wikang Ingles sa patakaran ng bug bounty na ito at anumang kasunod na pagsasalin-wika sa anumang ibang wika, ang bersyon ng wikang Ingles ang mamumuno at magkontrola.

Ano ba ang Programa ng Bug Bounty?

Upang mapabuti ang Paxful at ang Mga Serbisyo, ang Programa ng Bug Bounty sa Paxful ay magbibigay sa aming mga user ng oportunidad na kumita ng gantimpala para sa pagkilala ng teknikal na mga usapin.

Paano ka makipag-usap sa amin ng iyong mga natuklasan sa Programa ng Bug Bounty?

Ang lahat ng komunikasyon na ito ay dapat nakadirekta sa [email protected] Sa pagsusumite mo pakitukuyin ang buong paglalarawan ng pagiging maselan at kakayahang ma-verify ng pruweba na may umiiral na pagkamaselan (paliwanag / mga hakbang para gawin / mga screenshot /mga video /mga script ng ibang materyal).

Mga Tuntunin ng Programa

Ang paglabag sa alinman sa mga terms na ito ay maaaring magdulot ng pagiging hindi karapat-dapat para sa bounty.

  • Ang pagsusuri sa pagiging maselan ay laban lamang sa account na pag-aari mo o mga account na may pahintulot ka mula sa account holder na susuriin.
  • Kailanman ay huwag gamitin ang resulta para makompromiso/exfiltrate ang data o pivot sa ibang system. Gamitin lang ang pruweba ng konsepto para magpakita ng isyu.
  • Kung ang sensitibong impormasyon tulad ng personal na impormasyon, mga credential, atbp.. ay na-access bilang bahagi ng pagiging maselan, hindi dapat ito i-save, i-store, i-transfer, i-access, o di kaya'y iproseso pagkatapos ng inisyal na pagkatuklas.
  • Ang mga mananaliksik ay hindi maaari, at hindi awtorisado na lumahok sa alinmang aktibidad na magiging nakagagambala, nakapipinsala o nakasasakit sa Pxful.
  • Ang mga mananaliksik ay hindi maaaring isapubliko ang pagiging maselan (pagbabahagi ng alinman sa mga detalye sa iba bukod sa awtorisadong mga empleyado ng Paxful), o di kaya'y ibahagi ang pagiging maselan ng third party, nang hindi ipinakikita ang pahintulot ng Paxful.

Paano namin suriin ang mga usapin na kinilala sa ilalim ng Programa ng Bug Bounty?

Lahat ng mga natuklasan ay sinuri gamit ang paglapit na nakabatay sa panganib.

Kasunduan ng Walang Pagsisiwalat

Bago natin simulang talakayin ang anumang mga detalye na kaugnay sa kinumpirmang mga usapin na iyong kinilala sa ilalim ng Programa ng Bug Bounty, kabilang ang kabayaran, atbp., ikaw ay kinakailangan na pumasok sa Kasunduan ng Walang Pagsisiwalat sa amin.

Paano namin babayaran ang mga gantimpala ng Programa ng Bug Bounty?

Lahat ng =gantimpala ay binayaran ng Paxful. Lahat ng mga gantimpala ay mababayaran lamang kapag sila ay hindi lumabag sa naaangkop na mga batas at mga regulasyon, kabilang ngunit hindi limitado sa mga parusa ng kalakalan at ekonomikong mga paghihigpit.

Gaano katagal para sa amin na analisahin ang iyong mga natuklasan sa Programa ng Bug Bounty?

Dahil sa magkakaiba-iba at kumplikadong kalagayan ng teknikal na mga usapin, hindi kami nakatatag ng partikular na mga timeline upang analisahin ang mga natuklasan sa ilalim ng Programa ng Bug Bounty. Ang aming pag-analisa ay matatapos lamang kung nakumpirma na namin ang pag-iiral o kawalan ng kahinaan.

Anong mga kaso ang hindi kasali sa Programa ng Bug Bounty?

Ang ilan sa mga maseselan ay itinuturing na wala sa sakop ng Bug Bounty Program. Kabilang sa hindi sakop ng pagiging maselan, ngunit hindi limitado sa:

  • Spam;
  • Pagiging maselan na nangangailangan ng social engineering/phishing;
  • Mga pag-atake ng DDOS;
  • Mga kathang-isip na isyu na walang anumang praktikal na epekto;
  • Mga kahinaan ng seguridad sa mga aplikasyon ng pangatlong-partido at sa mga website ng third partyna pinagsama sa Paxful;
  • Scanner output o mga report mula sa scanner;
  • Mga usaping natagpuan sa pamamagitan ng awtomatikong pagsuri;
  • Mga bug na inilabas ng publiko sa Internet software sa loob ng 30 araw ng kanilang pagbubunyag;
  • Mga pag-atake ng taong namamagitan;
  • Mga host header injection nang walang espesipiko, o maipaliliwanag na epekto;
  • Self-XSS, kabilang ang anumang payload na inilagay ng biktima;
  • Login/logout CSRF;

Karagdagang Impormasyon

Kung ikaw ay naghahanap ng karagdagang impormasyon tungkol sa Patakarang ito, maaari kang makipag-ugnayan sa amin sa pamamagitan ng pag-email sa [email protected].