A Kraken acredita fortemente no valor dos profissionais e desenvolvedores de segurança que ajudam a manter nossos produtos e usuários seguros. A Kraken estabeleceu e incentiva a divulgação coordenada de vulnerabilidades (CVD) por meio do nosso Programa Bug Bounty. O programa Bug Bounty atende à missão da Kraken ajudando a proteger os clientes no mercado de moeda digital.
Ao procurar bugs nos sistemas da Kraken, você concorda em manter todos os dados, informações sobre vulnerabilidades, sua pesquisa e comunicações com a Kraken estritamente confidenciais até que a Kraken resolva o problema e conceda permissão para divulgação.
Quando os requisitos desta Política forem cumpridos. a Kraken concorda em não iniciar uma ação legal para a pesquisa de segurança realizada após todas as políticas da Kraken Bug Bounty publicadas, incluindo violações acidentais de boa fé.
Evite violações deliberadas de privacidade criando contas de teste sempre que possível. Se você encontrar informações de identificação pessoal (‘PII’) ou outros dados confidenciais para contas que você não tem consentimento expresso do proprietário da conta por escrito para validar suas descobertas, pare de acessar esses dados imediatamente e comunique o problema à Kraken com uma descrição dos dados confidenciais, não com os dados em si.
De acordo com as normas de proteção de dados e nossas políticas de privacidade, você deve:
- Não armazenar ou transmitir PII de outros clientes. Se você capturar qualquer PII de cliente, informe a Kraken imediatamente e destrua todas as cópias de PII que não sejam suas.
- Minimize a coleta e o acesso aos dados durante sua pesquisa. Colete e retenha somente as informações absolutamente necessárias para demonstrar e relatar a vulnerabilidade.
- Exclua imediatamente e com segurança todos os dados coletados depois que o relatório for enviado e a Kraken confirmar que o recebeu.
- Não divulgar quaisquer vulnerabilidades ou informações associadas a terceiros sem o consentimento expresso por escrito da Kraken. Isso inclui, mas não se limita a, mídias sociais, outras empresas ou a imprensa.
- Se você estiver comunicando uma violação de dados ou o local de um repositório de dados em vez de uma vulnerabilidade de segurança, forneça o local dos dados e não os acesse mais, nem compartilhe o local dos dados com outras pessoas.
Um envio de bug bounty nunca pode conter ameaças ou qualquer tentativa de extorsão. Estamos abertos a pagar recompensas por achados legítimos, no entanto, as demandas de resgate não são elegíveis para pagamento. Por exemplo, não liberar informações sobre a vulnerabilidade ou impedir a capacidade de resolver a vulnerabilidade até que outras demandas sejam atendidas será considerado uma demanda de resgate. Podemos ser obrigados por lei ou decidir voluntariamente relatar a autoridades qualquer envio de bug bounty que contenha demandas de resgate.
Acreditamos que as atividades conduzidas de acordo com esta política constituem uma conduta “autorizada” de acordo com a Lei de Fraude e Abuso de Computador (CFAA), a Lei de Direitos Autorais do Milênio Digital (DMCA) e as leis aplicáveis contra hackers, como o Código Penal da Califórnia, seção 503(c). Não faremos qualquer reivindicação contra os pesquisadores por burlar as medidas tecnológicas que usamos para proteger as aplicações no âmbito do Programa Bug Bounty. No entanto, seguir esta política não significa que a Kraken, nem qualquer outra organização individual ou governo, pode conceder imunidade de leis globais. É responsabilidade dos pesquisadores de segurança individual entender e cumprir todas as leis locais e internacionais aplicáveis em relação a controles de combate a hackers, de dados e privacidade e de exportação. Se um terceiro mover uma ação legal contra você e você estiver seguindo os termos desta política, a Kraken informará aos órgãos de aplicação da lei pertinentes ou aos autores de ações civis que suas atividades de pesquisa foram, ao melhor de nossos conhecimentos, conduzidas de acordo com, e em conformidade com os termos e condições deste programa.
É necessário que cada pesquisador nos envie uma notificação antes de se envolver em uma conduta que possa ser inconsistente ou não abordada por esta política. Agradecemos as sugestões para esclarecimentos de políticas que ajudem os investigadores a conduzir a sua investigação e relatórios com confiança.