Společnost Kraken pevně věří v hodnotu odborníků na zabezpečení a vývojářů, kteří pomáhají chránit naše produkty a uživatele. Společnost Kraken zavedla a podporuje koordinované zveřejňování chyb zabezpečení (Coordinated Vulnerability Disclosure, CVD) prostřednictvím svého programu odměn za nalezení chyb. Program odměn za nalezení chyb slouží společnosti Kraken tím, že pomáhá chránit zákazníky na trhu digitálních měn.
Hledáním chyb v systémech Kraken souhlasíte s tím, že budete zachovávat přísnou důvěrnost všech údajů, informací o chybách zabezpečení, svého výzkumu a komunikace se společností Kraken, dokud společnost Kraken daný problém nevyřeší a neudělí svolení ke zveřejnění.
Pokud jsou splněny požadavky těchto zásad, společnost Kraken souhlasí, že nebude podnikat právní kroky v případě bezpečnostního výzkumu prováděného v souladu se všemi zveřejněnými zásadami programu odměn za nalezení chyb Kraken, včetně porušení v dobré víře a náhodných porušení.
Vyhněte se úmyslnému porušování soukromí vytvářením testovacích účtů, kdykoli je to možné. Pokud narazíte na osobní identifikační údaje nebo jiné citlivé údaje týkající se účtů, k jejichž ověření nemáte výslovný písemný souhlas majitele účtu, okamžitě přestaňte k těmto údajům přistupovat a nahlaste tento problém společnosti Kraken s popisem osobních identifikačních údajů nebo jiných citlivých údajů. Nezahrnujte samotné údaje.
V souladu s předpisy o ochraně osobních údajů a našimi zásadami ochrany osobních údajů máte tyto povinnosti:
- Neukládejte ani nepřenášejte osobní identifikační údaje jiných klientů. Pokud se vám stane, že zaznamenáte jakékoli osobní údaje klienta, okamžitě to nahlaste společnosti Kraken a poté zničte všechny kopie osobních identifikačních údajů, které vám nepatří.
- Během výzkumu minimalizujte sběr dat a přístup k nim. Shromažďujte a uchovávejte pouze informace, které jsou nezbytně nutné k prokázání a nahlášení chyby zabezpečení.
- Jakmile bude hlášení odesláno a společnost Kraken potvrdí jeho přijetí, okamžitě a bezpečně odstraňte všechna shromážděná data.
- Bez výslovného písemného souhlasu společnosti Kraken nesmíte sdělovat žádné chyby zabezpečení ani související informace třetím stranám. To zahrnuje mimo jiné sociální sítě, jiné společnosti nebo tisk.
- Pokud nahlašujete porušení bezpečnosti dat nebo umístění úložiště dat namísto bezpečnostní chyby, uveďte umístění dat a dále k nim nepřistupujte ani nesdílejte jejich umístění s ostatními.
Hlášení chyby v rámci programu odměn za nalezení chyb nesmí nikdy obsahovat výhrůžky ani pokusy o vydírání. Jsme ochotni vyplácet odměny za legitimní nálezy, avšak požadavky na výkupné nejsou k výplatě způsobilé. Například neposkytnutí informací o chybě zabezpečení nebo jiné bránění schopnosti vyřešit chyby, dokud nebudou z naší strany splněny další požadavky, bude považováno za požadavek na výkupné. Můžeme být ze zákona povinni nebo se dobrovolně rozhodnout nahlásit orgánům jakékoli hlášení v rámci programu odměn za nalezení chyb, které obsahuje požadavky na výkupné.
Domníváme se, že činnosti prováděné v souladu s těmito zásadami představují „oprávněné“ jednání podle zákonů Computer Fraud and Abuse Act (CFAA), Digital Millennium Copyright Act (DMCA) a příslušných zákonů proti hackerství, jako je Cal. Penal Code 503(c). Nebudeme podávat žaloby proti výzkumníkům za obcházení technologických opatření, která jsme použili k ochraně aplikací v rámci programu odměn za nalezení chyb. Dodržování těchto zásad však neznamená, že společnost Kraken ani žádná jiná organizace či vláda může udělit imunitu vůči globálním zákonům. Je odpovědností jednotlivých bezpečnostních výzkumníků porozumět všem platným místním a mezinárodním zákonům týkajícím se boje proti hackerství, ochrany dat a soukromí a kontroly exportu a dodržovat je. Pokud proti vám třetí strana podá žalobu a vy jste dodržovali podmínky těchto zásad, společnost Kraken informuje příslušné orgány činné v trestním řízení nebo civilní žalobce, že vaše výzkumné činnosti byly podle našich nejlepších znalostí prováděny v souladu s podmínkami tohoto programu.
Každý výzkumník je povinen nám předem oznámit jakékoli jednání, které by mohlo být v rozporu s těmito zásadami nebo které tyto zásady nezahrnují. Uvítáme návrhy na upřesnění zásad, které pomohou výzkumníkům provádět výzkum a podávat zprávy s větší jistotou.