Bug Bounty Politikası
Paxful Inc. olarak (“Paxful”, “biz”, veya “bizim” şeklinde de anılacaktır), ürünümüzü geliştirmek ve müşterilerimize güvenli çözümler bulmak için adımlar atıyoruz. Bu bahsedilen Hata Avcılığı Politikası ("Politika"), Hata Avcılığı Programı için geçerli durumları tanımlıyor ve bunları sadece İnternet sitemiz olan https://paxful.com/ ile bağlantılı olarak kullanabilmeyi değil, aynı zamanda Bitcoin işlem platformuyla, Paxful Cüzdanı ile, mobil uygulamasıyla, sosyal medya sayfası veya diğer çevrim içi uygulamalarla (toplu olarak “Web Sitesi” şeklinde) birlikte nasıl kullanacağınız hakkında ya da bu ürünlerin, hizmetlerin, içeriklerin, özelliklerin, teknolojilerin ya da sunduğumuz işlevlerin herhangi birini nasıl kullanacağınız hakkında bilgi veriyoruz (toplu olarak "Hizmetler). Bu Politika, Hata Avcılığı Programımıza nasıl katılabileceğiniz, hangi güvenli araştırma sonuçlarının uygulanabilir olduğu ve hangi avantajlardan yararlanabileceğiniz hakkında size yardımcı olmak için tasarlanmıştır. Lütfen, Hizmet tekliflerimizin bölgelere göre değişiklik gösterebileceğini unutmayın.
Bu amaçlara yönelik olmak üzere, hata avcılığı politikasının İngilizce sürümü, orijinal ve geçerli olan sürüm olacaktır. Hata avcılığı politikasının İngilizce sürümüyle, başka bir dile çevrilenler arasında bir uyuşmazlık söz konusu olması durumunda İngilizce sürüm esas alınacaktır.
Hata Avcılığı Programı Nedir?
Paxful'u ve Hizmetlerini geliştirmek adına, Paxful Hata Avcılığı Programı kullanıcılarımıza teknik sorunları bulmalarına karşılık olarak ödül kazanma fırsatı vermektedir.
Hata Avcılığı Programı'nda bulduklarınızı bize nasıl iletebilirsiniz?
Tüm bu tür iletişimler [email protected] adresine gönderilmelidir. Gönderinizde lütfen güvenlik açığının tam bir açıklaması ile birlikte bu güvenlik açığının varlığına dair doğrulanabilir kanıtlar gönderin (açıklama / yeniden oluşturma için adımlar / ekran görüntüleri / videolar / senaryolar ve benzeri diğer materyaller).
Program Kuralları
Bu kuralların herhangi birinin ihlali, ödül hakkını kaybetme ile sonuçlanabilir.
- Yalnızca sizin sahibi olduğunuz veya hesap sahibinin test için onay verdiği hesaplara karşı güvenlik açıklığı testi yapın.
- Herhangi bir bulguyu asla gizliliği ihlal etme/dışarı veri kaçırma veya herhangi bir başka sisteme geçiş oluşturma için kullanmayın. Yalnızca bir problemi ortaya koymak için konsept kanıtı kullanın.
- Güvenlik açığının bir parçası olarak kişisel bilgiler, kimlik bilgileri vb. bilgilere erişim söz konusu olursa, bunlar ilk keşfetme anından itibaren kaydedilmemeli, depolanmamalı, transfer edilmemeli, erişilmemeli ve başka şekillerde işlenmemelidir.
- Araştırmacıların Paxful'da kesinti, zarar veya ziyana yol açabilecek herhangi bir aktiviteye girişme yetkilendirmesi söz konusu değildir.
- Araştırmacılar, Paxful'un açıkça izni olmaksızın herhangi bir güvenlik açığını topluma ifşa edemez (Paxful'ün yetkilendirilmiş çalışanları dışında herhangi birisi ile herhangi bir detayın paylaşımı) ve güvenlik açıklarını herhangi bir üçüncü tarafla paylaşamazlar.
Hata Avcılığı Programı'nda tanımlanan sorunları nasıl değerlendiriyoruz?
Tüm bulgular riske dayalı yaklaşım kullanılarak değerlendirilmektedir.
Gizlilik Sözleşmesi
Hata Avcılığı Programı kapsamında belirlediğiniz, ödenek dahil olmak üzere onaylanmış sorunlarla ilgili herhangi bir ayrıntıyı değerlendirmeye almadan önce, bizimle bir Gizlilik Sözleşmesi yapmanız gerekecektir.
Hata Avcılığı Programı ödüllerini nasıl veriyoruz?
Tüm bu ödüller Paxful tarafından verilmektedir. Ticari yaptırımlar ve ekonomik kısıtlamalar da dahil olmak üzere, ilgili yasalara ve yönetmeliklere aykırı olmadıkları müddetçe bu ödüller verilecektir.
Hata Avcılığı Programı'ndaki bulgularınızı analiz etmemiz ne kadar zaman alır?
Teknik sorunların değişen ve karmaşık yapıları nedeniyle, Hata Avcılığı Programı kapsamındaki bulguları analiz etmek için özel zaman çizelgeleri belirlemedik. Analizimiz, yalnızca bir sistem açığının varlığını veya yokluğunu onayladığımızda sona erecektir.
Hangi durumlar Hata Avcılığı Programı'nın dışındadır?
Belirli güvenlik açıkları, Hata Avcılığı Programının kapsamı dışında olarak değerlendirilmektedir. Bu kapsam dışı güvenlik açıkları şunları kapsar ama bunlarla sınırlı değildir:
- Spam;
- Sosyal mühendislik/kimlik hırsızlığı gerektiren güvenlik açıkları;
- DDOS saldırıları;
- Herhangi bir pratikte etkisi olmayan varsayımsal sorunlar;
- Üçüncü taraf uygulamalarındaki ve Paxful ile entegre üçüncü taraf web sitelerindeki güvenlik açıkları;
- Tarayıcı çıktısı olan veya tarayıcı ile oluşturulan raporlar;
- Otomatik test ile bulunan sorunlar;
- İnternet yazılımında, halka duyurulmasından sonraki 30 gün içindeki süre içerisinde, halka duyurulmuş hatalar;
- İki bağlantı noktası arasındaki bağlantıyı izinsiz izleme[Man-in-the-Middle] saldırıları;
- Herhangi bir spesifik ve ortaya konulabilir etkisi olmayan sunucu başlık enjeksiyonları [host header injections];
- Kurban tarafından girilen herhangi bir veri yükü de dahil olmak üzere kendi kendine-XSS;
- Giriş/Çıkış CSRF;
Daha Fazla Bilgi
Bu Politika ile ilgili daha fazla bilgi edinmek istiyorsanız, [email protected] e-posta adresimizden bizimle iletişime geçebilirsiniz.