Kraken твердо верит в ценность специалистов и разработчиков в области безопасности, помогающих обеспечивать защиту наших продуктов и пользователей. Компания Kraken поощряет координированное раскрытие информации об уязвимостях (CVD) через нашу программу вознаграждений за обнаруженные ошибки Bug Bounty. Программа Bug Bounty помогает Kraken выполнять миссию по защите клиентов на рынке цифровых валют.
При поиске уязвимостей в системе Kraken вы обязуетесь сохранять конфиденциальность всех данных, информации об уязвимостях, ваших исследований и общения с Kraken до тех тор, пока Kraken не изучит эту проблему и не даст разрешение на раскрытие.
При соблюдении требований настоящей Политики Kraken соглашается не возбуждать судебные иски в отношении исследований безопасности, проведенных в соответствии со всеми опубликованными политиками Kraken Bug Bounty, включая добросовестные и случайные нарушения.
Избегайте преднамеренных нарушений конфиденциальности, создавая тестовые аккаунты, когда это возможно. Если вы столкнетесь с персональными данными («PII») или другими конфиденциальными данными для аккаунтов, на использование которых у вас нет прямого письменного согласия владельца аккаунта для проверки ваших выводов, пожалуйста, немедленно прекратите доступ к этим данным и сообщите о проблеме Kraken с описанием PII или других конфиденциальных данных, а не самих данных.
В соответствии с нормативно-правовыми требованиями по защите данных и нашими политиками конфиденциальности вы обязаны:
- Не хранить и не передавать персональные данные других клиентов. Если вы получили доступ к персональным данным какого-либо клиента, немедленно сообщить об этом Kraken, а затем уничтожить все копии персональных данных этого клиента.
- Минимизировать сбор данных и доступ к ним по время исследования. Собирать и сохранять только ту информацию, которая абсолютно необходима для демонстрации и сообщения об уязвимости.
- Немедленно удалить все собранные данные надежным способом после отправки отчета и получения подтверждения от Kraken.
- Не раскрывать информацию об уязвимостях и связанную информацию третьим сторонам без письменного согласия Kraken. Это включает в себя, но не ограничивается социальными сетями, другими компаниями или СМИ.
- Если вы сообщаете об утечке данных или местоположении хранилища данных вместо уязвимости безопасности, пожалуйста, укажите местонахождение данных и не пытайтесь получить к ним доступ в дальнейшем, а также не делитесь местоположением данных с другими.
Отчет об обнаружении уязвимости ни в коем случае не должен содержать угроз или попыток вымогательства. Мы открыты для выплаты вознаграждений за законно найденные уязвимости, однако не будем платить в случае получения угроз. Например, непредоставление информации об уязвимости или иное воспрепятствование устранению уязвимости до тех пор, пока не будут выполнены другие требования, будет считаться требованием выкупа. Мы можем быть обязаны по закону или можем добровольно решить сообщить властям о любом отчете об уязвимостях, содержащем требования выкупа.
Мы считаем, что действия, осуществляемые в соответствии с настоящей политикой, представляют собой «санкционированное» поведение в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях (CFAA), Законом об авторском праве в цифровую эпоху (DMCA) и применимыми законами о борьбе с хакерством, такими как Уголовный кодекс Калифорнии 503(c). Мы не будем предъявлять иски исследователям безопасности за обход технологических мер, которые мы использовали для защиты приложений в рамках программы вознаграждений за обнаружение уязвимостей Bug Bounty. Однако следование этой политике не означает, что Kraken или любая другая отдельная организация или правительство могут предоставить иммунитет от глобальных законов. Индивидуальные исследователи безопасности обязаны понимать и соблюдать все применимые местные и международные законы, касающиеся борьбы с хакерством, данных и конфиденциальности, а также экспортного контроля. Если третья сторона возбудит против вас судебный иск, а вы соблюдали условия этой политики, Kraken сообщит соответствующим правоохранительным органам или гражданским истцам, что ваша исследовательская деятельность, насколько нам известно, проводилась в соответствии с условиями и положениями этой программы.
Каждый исследователь безопасности должен отправить нам уведомление, прежде чем приступать к действиям, которые могут не соответствовать или не рассматриваться в рамках этой политики. Мы приветствуем предложения по разъяснению политики, которые помогут исследователям безопасности проводить свои исследования и составлять отчеты уверенно.