Kraken cree firmemente en el valor de los profesionales y desarrolladores de la seguridad que ayudan a mantener seguros a nuestros productos y usuarios. Kraken ha establecido y fomenta la divulgación coordinada de vulnerabilidades (CVD) a través de nuestro programa Bug Bounty. El programa Bug Bounty apoya la misión de Kraken ayudando a proteger a los clientes en el mercado de las divisas digitales.
Kraken se compromete a no iniciar acciones legales por la investigación de seguridad realizada siguiendo todas las políticas publicadas del Bug Bounty de Kraken, incluidas las infracciones accidentales de buena fe. Evite infracciones deliberadas a la privacidad creando cuentas de prueba siempre que sea posible. Si encuentra información de identificación personal u otros datos confidenciales de cuentas que no tiene el consentimiento expreso por escrito del propietario de la cuenta para utilizarlos para validar sus hallazgos, deje de acceder a esos datos de inmediato e informe del problema a Kraken con una descripción de los datos, no de los datos en sí. No almacene ni transmita los datos de otros usuarios, y destruya todas las copias de los datos que no sean suyos y que haya conseguido accidental o deliberadamente durante el transcurso de su investigación. Si informa de una violación de datos o de la ubicación de un repositorio de datos en lugar de una vulnerabilidad de seguridad, proporcione la ubicación de los datos y no acceda a ellos más, ni comparta la ubicación de los datos con otras personas.
Creemos que las actividades realizadas de acuerdo con esta política constituyen una conducta “autorizada” en virtud de la Ley de Fraude y Abuso Informático (CFAA), la Ley sobre Derechos de Autor en el Milenio Digital (DMCA) y las leyes antipiratería aplicables, como la del Código Penal de California 503(c). No presentaremos una reclamación contra los investigadores por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el ámbito del programa Bug Bounty. Sin embargo, el cumplimiento de esta política no significa que Kraken ni ninguna otra organización o Gobierno individual puedan conceder inmunidad frente a las leyes internacionales. Es responsabilidad de los investigadores de seguridad individuales comprender y cumplir todas las leyes locales e internacionales aplicables en materia de antipiratería, datos y privacidad, y control de las exportaciones. Si un tercero interpone acciones legales contra usted y usted estaba siguiendo los términos de esta política, Kraken informará a las autoridades competentes o a los demandantes civiles de que sus actividades de investigación se llevaron a cabo, a nuestro leal saber y entender, de conformidad con, y en cumplimiento de, los términos y condiciones de este programa.
Se requiere que cada investigador nos envíe una notificación antes de adoptar una conducta que pueda ser incompatible con esta política o que no esté contemplada en ella. Agradecemos las sugerencias de aclaraciones de política que ayuden a los investigadores a llevar a cabo sus investigaciones e informes con confianza.