Kraken tin tưởng mạnh mẽ vào giá trị của các chuyên gia bảo mật và nhà phát triển hỗ trợ giữ an toàn cho sản phẩm và người dùng của chúng tôi. Kraken đã thiết lập và khuyến khích phối hợp công bố lỗ hổng bảo mật (CVD) thông qua chương trình Phần thưởng phát hiện lỗi của chúng tôi. Chương trình Phần thưởng phát hiện lỗi phục vụ sứ mệnh Kraken bằng cách giúp bảo vệ khách hàng trên thị trường tiền kỹ thuật số.
Khi tìm kiếm lỗi trong hệ thống Kraken, bạn đồng ý giữ bí mật tuyệt đối mọi dữ liệu, thông tin về lỗ hổng bảo mật, nghiên cứu và thông tin liên lạc của bạn với Kraken cho đến khi Kraken giải quyết vấn đề và cho phép tiết lộ.
Khi các yêu cầu của Chính sách này được tuân thủ, Kraken sẽ không tiến hành hành động pháp lý đối với các nghiên cứu bảo mật được thực hiện tuân thủ tất cả chính sách Phần thưởng phát hiện lỗi đã đăng của Kraken, bao gồm cả thiện chí, vi phạm do tai nạn.
Vui lòng tránh cố tình vi phạm quyền riêng tư bằng cách tạo tài khoản thử nghiệm bất cứ khi nào có thể. Nếu bạn phát hiện thông tin nhận dạng cá nhân (‘PII’) hoặc dữ liệu nhạy cảm khác đối với các tài khoản mà bạn không có sự chấp thuận rõ ràng bằng văn bản của chủ sở hữu tài khoản để sử dụng nhằm xác thực phát hiện của mình, vui lòng ngừng truy cập dữ liệu đó ngay lập tức và báo cáo vấn đề cho Kraken kèm theo mô tả về PII hoặc dữ liệu nhạy cảm khác, không phải bản thân dữ liệu.
Để phù hợp với các quy định về bảo vệ dữ liệu và chính sách bảo mật của chúng tôi, bạn phải nhớ:
- Không lưu trữ hoặc truyền tải PII của khách hàng khác. Nếu bạn tình cờ thu thập được bất kỳ PII nào của khách hàng, hãy báo cáo ngay cho Kraken và sau đó hủy tất cả các bản sao PII không phải của bạn.
- Giảm thiểu việc thu thập và truy cập dữ liệu trong quá trình nghiên cứu. Chỉ thu thập và lưu giữ thông tin hoàn toàn cần thiết để chứng minh và báo cáo lỗ hổng bảo mật.
- Lập tức xóa tất cả dữ liệu đã thu thập một cách an toàn sau khi gửi báo cáo và Kraken xác nhận đã nhận được báo cáo.
- Không tiết lộ bất kỳ lỗ hổng hoặc thông tin liên quan nào cho bên thứ ba mà không có sự đồng ý rõ ràng bằng văn bản của Kraken. Điều này bao gồm nhưng không giới hạn ở mạng xã hội, các công ty khác hoặc báo chí.
- Nếu bạn đang báo cáo hành vi vi phạm dữ liệu hoặc vị trí của kho lưu trữ dữ liệu thay vì lỗ hổng bảo mật, vui lòng cung cấp vị trí của dữ liệu và không truy cập thêm cũng như không chia sẻ vị trí của dữ liệu với người khác.
Việc gửi báo cáo trong chương trình Phần thưởng phát hiện lỗi không được chứa các mối đe dọa hoặc bất kỳ âm mưu tống tiền nào. Chúng tôi sẵn sàng trả tiền thưởng cho những phát hiện hợp pháp, tuy nhiên yêu cầu tiền chuộc sẽ không đủ điều kiện để nhận thanh toán. Ví dụ, việc không tiết lộ thông tin về lỗ hổng bảo mật hoặc cản trở khả năng giải quyết lỗ hổng bảo mật cho đến khi các yêu cầu khác được đáp ứng sẽ được coi là yêu cầu tiền chuộc. Luật pháp có thể sẽ yêu cầu hoặc chúng tôi có thể tự quyết định báo cáo mọi báo cáo với bên có thẩm quyền trong chương trình Phần thưởng phát hiện lỗi có chứa yêu cầu tiền chuộc.
Chúng tôi tin rằng các hoạt động được tiến hành phù hợp với chính sách này cấu thành hành vi “được ủy quyền” theo Đạo luật về lừa đảo và lạm dụng máy tính (CFAA), Đạo luật bản quyền thiên niên kỷ kỹ thuật số (DMCA) và các luật chống xâm nhập hiện hành như Bộ luật hình sự California 503(c). Chúng tôi sẽ không khiếu nại các nhà nghiên cứu vì đã tránh né các biện pháp công nghệ mà chúng tôi sử dụng để bảo vệ các ứng dụng trong phạm vi chương trình Phần thưởng phát hiện lỗi. Tuy nhiên, việc tuân theo chính sách này không có nghĩa là Kraken cũng như bất kỳ tổ chức hoặc chính phủ cá nhân nào khác có thể miễn trừ luật pháp toàn cầu. Trách nhiệm của từng nhà nghiên cứu bảo mật là hiểu và tuân thủ tất cả luật hiện hành của địa phương cũng như quốc tế về chống xâm nhập, dữ liệu và quyền riêng tư cũng như biện pháp kiểm soát xuất khẩu. Nếu một bên thứ ba khởi kiện bạn và bạn đã tuân thủ các điều khoản trong chính sách này, Kraken sẽ thông báo cho các cơ quan thực thi pháp luật thích hợp hoặc nguyên đơn dân sự rằng các hoạt động nghiên cứu của bạn, theo phạm vi hiểu biết tốt nhất của chúng tôi, được thực hiện theo và tuân thủ các điều khoản và điều kiện của chương trình này.
Mỗi nhà nghiên cứu phải gửi thông báo cho chúng tôi trước khi thực hiện hành vi vốn có thể sẽ không phù hợp hoặc chưa được đề cập trong chính sách này. Chúng tôi hoan nghênh những đề xuất làm rõ chính sách nhằm giúp các nhà nghiên cứu tự tin tiến hành nghiên cứu và báo cáo.