Kraken silnie wierzy w wartość specjalistów ds. bezpieczeństwa i programistów, którzy pomagają w utrzymaniu bezpieczeństwa naszych produktów i użytkowników. Kraken wprowadził skoordynowane ujawnianie luk (CVD) na mocy swojego programu nagród za zgłaszanie błędów i zachęca do brania w nim udziału. Program nagród za zgłaszanie błędów służy misji Kraken, pomagając w chronieniu klientów na rynku walut cyfrowych.
Szukając błędów w systemach Kraken, zgadzasz się zachować wszystkie dane, informacje o lukach w zabezpieczeniach, swoje badania i komunikację z Kraken w ścisłej tajemnicy do czasu, gdy Kraken zajmie się daną kwestią i udzieli zgody na jej ujawnienie.
W przypadku spełnienia wymogów niniejszej Polityki Kraken zgadza się nie wnosić żadnych pozwów sądowych z powodu badań bezpieczeństwa prowadzonych zgodnie ze wszystkimi opublikowanymi zasadami programu nagród za zgłaszanie błędów Kraken, wliczając w to przypadkowe naruszenia poczynione w dobrej wierze.
Prosimy o unikanie celowego naruszania prywatności poprzez tworzenie kont testowych, gdy to tylko to możliwe. W przypadku natrafienia na informacje umożliwiające identyfikację (‘PII’) osób lub innych wrażliwych danych dotyczących kont, na których wykorzystanie w celu weryfikacji wniosków nie uzyskano jednoznacznej zgody właściciela konta na piśmie, należy natychmiast zaprzestać uzyskiwania dostępu do tych danych i zgłosić problem do Krakena, podając opis danych, ale nie same dane.
Zgodnie z przepisami o ochronie danych i naszą polityką prywatności:
- Nie możesz przesyłać danych umożliwiających identyfikację’ innych klientów. W przypadku przechwycenia jakichkolwiek danych osobowych klienta niezwłocznie zgłoś to platformie Kraken, a następnie zniszcz wszystkie kopie danych osobowych, które do Ciebie nie należą.
- Ogranicz gromadzenie danych oraz uzyskiwanie do nich dostępu podczas testu. Gromadź i przechowuj wyłącznie dane absolutnie niezbędne do wykazania i zgłoszenia luki w zabezpieczeniach.
- Po przesłaniu raportu i potwierdzeniu jego otrzymania przez firmę Kraken natychmiast usuń wszystkie zgromadzone dane w bezpiecznych sposób.
- Nie ujawniaj żadnych luk w zabezpieczeniach ani powiązanych informacji stronom trzecim bez wyraźnej pisemnej zgody Kraken. Obejmuje to między innymi media społecznościowe, inne firmy lub prasę.
- Jeśli zgłaszasz naruszenie danych lub lokalizację repozytorium danych, a nie lukę w zabezpieczeniach, podaj lokalizację danych i nie uzyskuj do nich dalszego dostępu ani nie udostępniaj lokalizacji tych danych innym.
Wniosek o nagrodę za zgłoszenie błędu nie może nigdy zawierać gróźb ani prób wymuszenia. Nie mamy nic do wypłacania nagród za autentyczne ustalenia, ale żądania okupu do płatności się nie kwalifikują. Na przykład, nieujawnienie informacji o luce w zabezpieczeniach lub utrudnianie w inny sposób usunięcia luki w zabezpieczeniach do czasu spełnienia innych żądań zostanie uznane za żądanie okupu. Możemy być zobowiązani przez prawo lub dobrowolnie zdecydować się na poinformowanie odpowiednich organów o wszelkich wnioskach w ramach programu nagród za zgłoszenie błędu, które zawierają żądania okupu.
Wierzymy, iż działania zgodne z tą polityką stanowią “uprawnione” postępowanie w rozumieniu amerykańskich ustaw Computer Fraud and Abuse Act (CFAA) i Digital Millennium Copyright Act (DMCA) oraz mających zastosowanie praw antyhakerskich takich, jak sekcja 503(c) kalifornijskiego kodeksu karnego. Nie będziemy wnosić pozwów przeciwko badaczom z powodu obchodzenia środków technologicznych, które wykorzystaliśmy do ochrony aplikacji objętych programem nagród za zgłaszanie błędów. Przestrzeganie tej polityki nie oznacza jednak, że Kraken ani jakakolwiek inna indywidualna organizacja czy jakikolwiek rząd może przyznać ochronę przed globalnymi przepisami. Badacze bezpieczeństwa mają obowiązek zrozumienia i przestrzegania wszystkich obowiązujących lokalnych i międzynarodowych przepisów dotyczących danych i prywatności, zwalczania hakerstwa oraz kontroli eksportu. Jeśli przeciwko Tobie wniesie pozew strona trzecia, choć przestrzegałeś warunków niniejszej polityki, Kraken poinformuje odpowiednie organy ścigania lub powodów cywilnych, że działania badawcze użytkownika były, wedle naszej wiedzy, prowadzone zgodnie z warunkami programu.
Wymagane jest, aby przed podjęciem działań, które mogą być niezgodne z niniejszą polityką lub nie być nią objęte, każdy badacz przesłał nam powiadomienie. Z miłą chęcią przyjmiemy sugestie dotyczące uściślenia niniejszej polityki, które pomogą badaczom w prowadzeniu badań i raportowaniu.