Bug Bounty Policy（報告漏洞獎勵政策）

Paxful公司（亦稱為“Paxful”、“我方”、“我們”或“我方的”）採取措施改進產品，並為客戶提供安全的解決方案。在本報告漏洞獎勵政策（以下簡稱“政策”）中，我方列出了報告漏洞獎勵政策的適用案例，以及在您使用https://paxful.com/網站（包括但不限於Paxful錢包、線上比特幣交易平台、行動應用程式、社群媒體頁面或其他網上內容（統稱為“網站”）時，或者在您使用我們提供的任何產品、服務、內容、特色、技術或功能（統稱為“服務”）時，須如何應用該政策。本政策旨在幫助您獲取有關如何參與漏洞報告獎勵計劃的資訊，安全適用的研究結果，以及可獲得的益處。請注意，我方服務可能因地域差別而有所不同。

出於多種目的，本Bug Bounty Policy（有獎捉蟲方案）的英文版本應為原始的管理文書。如果此Bug Bounty Policy（有獎捉蟲方案）的英文版本與任何語言的後續翻譯出現任何衝突，則英文版本應該作為管理與控制標準。

什麼是漏洞報告獎勵計劃？

為改進Paxful和服務，Paxful漏洞報告獎勵計劃為使用者提供機會，使用者發現技術問題時可獲得獎勵。

如何向我方告知漏洞？

所有此類資訊均應傳送到[email protected]。提交時，請詳細提供漏洞的完整描述以及漏洞存在的可驗證證據（解釋/複製步驟/截圖/視訊/腳本或其他材料）。

計劃規則

任何違反規則的行為都可能導致失去獎勵資格。

僅針對您擁有的帳戶，或帳戶持有人同意您進行測試的帳戶來測試漏洞。
切勿利用發現來破壞/洩漏資料或轉向其他系統。僅使用概念證明來說明問題。
若作為漏洞的一部分，存取了敏感資訊（例如個人資訊，憑據等），則在初次發現之後，不得對其進行儲存、存儲、傳輸、存取或以其他方式進行處理。
研究人員不得也未被授權參與任何可能破壞、損害或有害於Paxful的活動。
未經Paxful明確許可，研究人員不得公開披露漏洞（與授權的Paxful員工以外的任何人分享任何細節），或以其他方式與協力廠商分享漏洞。

我方如何評估您的漏洞報告？

所有發現均採用基於風險的方法進行評估。

保密協議

在我方開始討論與您在報告漏洞獎勵政策下發現的已確認問題相關細節之前，包括報酬等，您須與我方簽訂保密協議。

我方如何支付漏洞報告計劃獎勵？

所有上述獎勵均由Paxful支付。僅在不違反適用法律法規情形下，包括但不限於貿易制裁和經濟限制，才能支付所有獎勵。

我方需要多長時間來分析您的漏洞報告？

由於技術問題的多樣性和複雜性，我方尚未設立特定的漏洞報告分析時間表。僅當我方確認是否存在漏洞時，我方的分析才完成。

哪些案例不屬於漏洞獎勵計劃？

某些漏洞不在報告漏洞獎勵政策的考慮範圍之內。這些範圍外的漏洞包括但不限於：

垃圾電郵
需要社會工程/網路釣魚的漏洞；
DDOS攻擊
沒有任何實際影響的假想問題；
與Paxful合作的第三方應用程序及第三方網站中的安全漏洞；
掃描工具輸出或掃描工具產生的報告；
透過自動化測試發現的問題；
互聯網軟體公開發佈的漏洞（在其披露30天內）
中間人攻擊
沒有可證明的具體影響的主機頭注入；
自跨站腳本攻擊，包括受害者鍵入的任何有效載荷；
登入/退出跨站請求偽造；