Kraken crede fermamente nel valore dei professionisti della sicurezza e degli sviluppatori che contribuiscono a mantenere sicuri i propri prodotti e utenti. Kraken ha istituito e incoraggia la divulgazione coordinata delle vulnerabilità (CVD) attraverso il nostro programma Bug Bounty. Il programma Bug Bounty serve alla missione di Kraken aiutando a proteggere i clienti del mercato delle valute digitali.
Cercando bug nei sistemi di Kraken, accetti di salvaguardare la riservatezza di tutti i dati, delle informazioni sulle vulnerabilità, delle ricerche effettuate e delle comunicazioni con Kraken finché Kraken non avrà risolto il problema e autorizzato la sua divulgazione.
Laddove i requisiti della presente Politica siano rispettati, Kraken si impegna a non avviare azioni legali per le ricerche sulla sicurezza effettuate seguendo tutte le politiche di Kraken Bug Bounty pubblicate, comprese le violazioni accidentali e in buona fede.
Ti invitiamo a evitare violazioni intenzionali della privacy creando account di prova quando possibile. Se dovessi entrare in possesso di informazioni di identificazione personale (“PII”) o di altri dati sensibili relativi ad account che i rispettivi titolari non ti hanno esplicitamente autorizzato per iscritto a utilizzare per convalidare le tue scoperte, astieniti immediatamente dall'accedere a tali dati e segnala il problema a Kraken fornendo una descrizione delle informazioni di identificazione personale in questione (non i dati stessi).
In conformità alle normative in materia di protezione dei dati e alle nostre politiche sulla privacy, hai l’obbligo di rispettare gli obblighi seguenti:
- Non memorizzare o divulgare le informazioni di identificazione personale di altri clienti. Se dovessi entrare in possesso delle informazioni di identificazione personale di un cliente, devi segnalarlo immediatamente a Kraken e distruggere tutte le copie di tali informazioni non di tua proprietà.
- Ridurre al minimo la raccolta e l’accesso ai dati nello svolgimento della tua ricerca. Raccogli e conserva solo le informazioni assolutamente necessarie per dimostrare e segnalare la vulnerabilità.
- Elimina immediatamente e in modo sicuro tutti i dati raccolti dopo aver inviato il report e non appena Kraken ne abbia confermato i ricevimento.
- Non divulgare a terzi alcuna vulnerabilità o informazione al riguardo senza l'esplicito consenso scritto di Kraken. Ciò comprende, a titolo esemplificativo ma non esaustivo, i social media, altre aziende o la stampa.
- Se stai segnalando una violazione dei dati o l'ubicazione di un archivio di dati invece di una vulnerabilità di sicurezza, ti invitiamo a indicare l'ubicazione dei dati senza accedervi ulteriormente né condividerla con altre persone.
L'invio di un bug bounty non deve mai contenere minacce o tentativi di estorsione. Siamo disponibili a pagare dei premi per scoperte legittime, ma non daremo mai seguito a richieste di riscatto. Ad esempio, il mancato rilascio di informazioni sulla vulnerabilità o eventuali intralci alla possibilità di risolvere la vulnerabilità fino a quando non saranno soddisfatte altre richieste saranno considerati una richiesta di riscatto. Potremmo essere obbligati per legge o decidere volontariamente di segnalare alle autorità competenti l'invio di eventuali bug bounty contenenti richieste di riscatto.
Riteniamo che le attività svolte in conformità a questa politica costituiscano una condotta “autorizzata” ai sensi del Computer Fraud and Abuse Act (CFAA), del Digital Millennium Copyright Act (DMCA) e delle leggi anti-hacking applicabili, come il Codice penale della California, Articolo 503(c). Non intenteremo una causa contro i ricercatori per aver aggirato le misure tecnologiche che abbiamo utilizzato per proteggere le applicazioni che rientrano nell'ambito del Bug Bounty Program. Tuttavia, seguire questa politica non significa che Kraken o qualsiasi altra organizzazione o governo possa garantire l'immunità dalle leggi globali. È responsabilità dei singoli ricercatori di sicurezza comprendere e rispettare tutte le leggi locali e internazionali applicabili in materia di anti-hacking, dati e privacy e controlli sulle esportazioni. Se una terza parte dovesse intentare un'azione legale contro di te e tu stessi rispettando i termini di questa politica, Kraken informerà le forze dell'ordine o le parti civili competenti che le tue attività di ricerca sono state condotte, per quanto a nostra conoscenza, in conformità e nel rispetto dei termini e delle condizioni di questo programma.
È necessario che ogni ricercatore ci invii una notifica prima di intraprendere una condotta che potrebbe essere in contrasto con questa politica o che non è stata presa in considerazione. Siamo lieti di ricevere suggerimenti per chiarire la politica in modo da aiutare i ricercatori a condurre le loro ricerche ed effettuare segnalazioni con la massima fiducia.