Kraken cree firmemente en el valor de los profesionales y desarrolladores de la seguridad que ayudan a mantener seguros a nuestros productos y usuarios. Kraken ha establecido y fomenta la divulgación coordinada de vulnerabilidades (CVD) a través de nuestro programa Bug Bounty. El programa Bug Bounty apoya la misión de Kraken ayudando a proteger a los clientes en el mercado de las divisas digitales.
Al buscar errores en los sistemas de Kraken, aceptas guardar la máxima confidencialidad sobre todos los datos e información de las vulnerabilidades junto con tu investigación y comunicaciones con Kraken hasta que se haya abordado el problema y se haya concedido el permiso de divulgación.
En caso de que se cumplan los requisitos de esta Política, Kraken se compromete a no iniciar acciones legales por la investigación de seguridad realizada siguiendo todas las políticas publicadas del Bug Bounty de Kraken, incluidas las infracciones accidentales de buena fe.
Evite infracciones deliberadas a la privacidad creando cuentas de prueba siempre que sea posible. Si encuentras información personal identificable (‘IPI’) u otros datos sensibles de cuentas para las que no tienes el consentimiento expreso por escrito del propietario de la cuenta para utilizarlos para validar tus hallazgos, deja de acceder a esos datos de inmediato e informa del problema a Kraken con una descripción de la IPI u otros datos confidenciales, no de los datos en sí.
De acuerdo con las normativas en materia de protección de datos y nuestras políticas de privacidad, debes:
- No almacenar ni transmitir la IPI de otros clientes. Si por casualidad detectas IPI de algún cliente, informar a Kraken inmediatamente al respecto y destruir todas las copias de la IPI que no te corresponda.
- Minimizar la recopilación de datos y accesos en tu investigación. Solo recopilar y guardar la información estrictamente necesaria para demostrar la vulnerabilidad e informar al respecto.
- Eliminar de inmediato y de manera segura todos los datos recopilados una vez que el informe se haya enviado y hayas recibido una confirmación de recepción por parte de Kraken.
- No revelar las vulnerabilidades o información relacionada a terceros sin el consentimiento expreso por escrito de Kraken. Esto incluye, entre otros, las redes sociales, otras empresas y la prensa.
- Si informa de una violación de datos o de la ubicación de un repositorio de datos en lugar de una vulnerabilidad de seguridad, proporcione la ubicación de los datos y no acceda a ellos más, ni comparta la ubicación de los datos con otras personas.
Un bug bounty nunca debe contener amenazas ni intentos de extorsión. Estamos dispuestos a pagar recompensas por hallazgos legítimos, pero las demandas de rescate no cumplen con los requisitos para recibir pagos. Por ejemplo, si no se revela la información sobre la vulnerabilidad o si se impide de cualquier otra manera su resolución antes de que se cumplan otras exigencias, esto se considerará una petición de rescate. Es posible que la ley nos exija informar sobre cualquier envío de bug bounty que contenga demandas de rescate o que decidamos hacerlo de forma voluntaria.
Creemos que las actividades realizadas de acuerdo con esta política constituyen una conducta “autorizada” en virtud de la Ley de Fraude y Abuso Informático (CFAA), la Ley sobre Derechos de Autor en el Milenio Digital (DMCA) y las leyes antipiratería aplicables, como la del Código Penal de California 503(c). No presentaremos una reclamación contra los investigadores por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el ámbito del programa Bug Bounty. Sin embargo, el cumplimiento de esta política no significa que Kraken ni ninguna otra organización o Gobierno individual puedan conceder inmunidad frente a las leyes internacionales. Es responsabilidad de los investigadores de seguridad individuales comprender y cumplir todas las leyes locales e internacionales aplicables en materia de antipiratería, datos y privacidad, y control de las exportaciones. Si un tercero interpone acciones legales contra usted y usted estaba siguiendo los términos de esta política, Kraken informará a las autoridades competentes o a los demandantes civiles de que sus actividades de investigación se llevaron a cabo, a nuestro leal saber y entender, de conformidad con, y en cumplimiento de, los términos y condiciones de este programa.
Se requiere que cada investigador nos envíe una notificación antes de adoptar una conducta que pueda ser incompatible con esta política o que no esté contemplada en ella. Agradecemos las sugerencias de aclaraciones de política que ayuden a los investigadores a llevar a cabo sus investigaciones e informes con confianza.