Η Kraken πιστεύει ακράδαντα στην αξία των επαγγελματιών ασφαλείας και των προγραμματιστών που συμβάλλουν στη διατήρηση της ασφάλειας των προϊόντων και των χρηστών μας. Η Kraken έχει καθιερώσει και προάγει την συντονισμένη αποκάλυψη ευπαθειών (CVD) μέσω του προγράμματος αμοιβής εντοπισμού σφαλμάτων (Bug Bounty). Το πρόγραμμα Bug Bounty εξυπηρετεί την αποστολή της Kraken, βοηθώντας στην προστασία των πελατών στην αγορά ψηφιακών νομισμάτων.
Αναζητώντας σφάλματα στα συστήματα της Kraken, συμφωνείτε να διατηρήσετε όλα τα δεδομένα, τις πληροφορίες σχετικά με τις ευπάθειες, την έρευνά σας και τις επικοινωνίες σας με την Kraken αυστηρά εμπιστευτικά έως ότου η Kraken επιλύσει το ζήτημα και παραχωρήσει άδεια για την αποκάλυψή τους.
Όταν πληρούνται οι απαιτήσεις της παρούσας Πολιτικής, η Kraken συμφωνεί να μην προβεί σε νομικές ενέργειες για έρευνα ασφάλειας που πραγματοποιείται σύμφωνα με όλες τις δημοσιευμένες πολιτικές Kraken Bug Bounty, συμπεριλαμβανομένων των παραβάσεων καλής πίστης και των τυχαίων παραβάσεων.
Αποφύγετε τις σκόπιμες παραβιάσεις του απορρήτου δημιουργώντας δοκιμαστικούς λογαριασμούς όποτε είναι δυνατόν. Εάν εντοπίσετε προσωπικά αναγνωρίσιμες πληροφορίες («PII») ή άλλα ευαίσθητα δεδομένα για λογαριασμούς για τους οποίους δεν έχετε ρητή γραπτή συγκατάθεση του κατόχου του λογαριασμού για να χρησιμοποιήσετε για την επικύρωση των ευρημάτων σας, σταματήστε αμέσως την πρόσβαση σε αυτά τα δεδομένα και αναφέρετε το ζήτημα στην Kraken με μια περιγραφή των PII ή άλλων ευαίσθητων δεδομένων, όχι τα ίδια τα δεδομένα.
Σύμφωνα με τους κανονισμούς περί προστασίας δεδομένων και τις πολιτικές απορρήτου μας, πρέπει να κάνετε τα εξής:
- Μην αποθηκεύετε ή μεταδίδετε προσωπικά αναγνωρίσιμες πληροφορίες (PII) άλλων πελατών. Εάν τυχόν καταγράψετε οποιαδήποτε προσωπική πληροφορία πελάτη, ενημερώστε αμέσως την Kraken και στη συνέχεια καταστρέψτε όλα τα αντίγραφα των προσωπικών πληροφοριών που δεν σας ανήκουν.
- Ελαχιστοποιήστε τη συλλογή και την πρόσβαση σε δεδομένα κατά τη διάρκεια της έρευνάς σας. Συλλέγετε και διατηρείτε μόνο τις πληροφορίες που είναι απολύτως απαραίτητες για να αποδείξετε και να αναφέρετε την ευπάθεια.
- Διαγράψτε αμέσως και με ασφάλεια όλα τα δεδομένα που συλλέξατε, μόλις υποβάλετε την αναφορά και η Kraken επιβεβαιώσει ότι την έλαβε.
- Να μην αποκαλύπτετε τυχόν ευπάθειες ή σχετικές πληροφορίες σε τρίτους χωρίς τη ρητή γραπτή συγκατάθεση της Kraken. Αυτό περιλαμβάνει, μεταξύ άλλων, τα μέσα κοινωνικής δικτύωσης, άλλες εταιρείες ή τον Τύπο.
- Εάν αναφέρετε παραβίαση δεδομένων ή την τοποθεσία ενός κέντρου δεδομένων αντί για ευπάθεια ασφαλείας, αναφέρετε την τοποθεσία των δεδομένων και μην προχωρήσετε σε περαιτέρω πρόσβαση σε αυτά, καθώς και μην μοιραστείτε την τοποθεσία των δεδομένων με άλλους.
Μια υποβολή αμοιβής εντοπισμού σφαλμάτων δεν πρέπει ποτέ να περιέχει απειλές ή οποιαδήποτε απόπειρα εκβιασμού. Είμαστε διατεθειμένοι να καταβάλλουμε αμοιβές για νόμιμες ανακαλύψεις, ωστόσο οι απαιτήσεις για λύτρα δεν είναι επιλέξιμες για πληρωμή. Για παράδειγμα, η μη δημοσιοποίηση πληροφοριών σχετικά με την ευπάθεια ή η παρεμπόδιση της δυνατότητας επίλυσης της ευπάθειας έως ότου ικανοποιηθούν άλλες απαιτήσεις θα θεωρείται απαίτηση λύτρων. Ενδέχεται να υποχρεωθούμε από τον νόμο ή να αποφασίσουμε οικειοθελώς να αναφέρουμε στις αρχές οποιαδήποτε υποβολή αμοιβή εντοπισμού σφαλμάτων που περιέχει απαιτήσεις λύτρων.
Πιστεύουμε ότι οι δραστηριότητες που διεξάγονται σύμφωνα με την παρούσα πολιτική αποτελούν «επιτρεπόμενη» συμπεριφορά σύμφωνα με τον Νόμο περί Απάτης και Κατάχρησης Υπολογιστών (CFAA), τον Νόμο περί Πνευματικών Δικαιωμάτων στην Ψηφιακή Εποχή (DMCA) και τους ισχύοντες νόμους κατά της πειρατείας, όπως ο νόμος της Καλιφόρνιας. Ποινικός Κώδικας 503(c). Δεν θα ασκήσουμε αγωγή εναντίον ερευνητών για την παράκαμψη των τεχνολογικών μέτρων που έχουμε χρησιμοποιήσει για την προστασία των εφαρμογών που εμπίπτουν στο πεδίο εφαρμογής του Προγράμματος Bug Bounty. Ωστόσο, η εφαρμογή αυτής της πολιτικής δεν σημαίνει ότι η Kraken ή οποιοσδήποτε άλλος μεμονωμένος οργανισμός ή κυβέρνηση μπορεί να παραχωρήσει ασυλία από τους παγκόσμιους νόμους. Είναι ευθύνη των μεμονωμένων ερευνητών ασφάλειας να κατανοούν και να συμμορφώνονται με όλους τους ισχύοντες τοπικούς και διεθνείς νόμους σχετικά με την καταπολέμηση της παραβίασης, τα δεδομένα και το απόρρητο, καθώς και τους ελέγχους εξαγωγών. Εάν τρίτο μέρος ασκήσει νομική δράση εναντίον σας και εσείς τηρούσατε τους όρους της παρούσας πολιτικής, η Kraken θα ενημερώσει τις αρμόδιες αρχές επιβολής του νόμου ή τους ενάγοντες ότι, με βάση τις πληροφορίες που διαθέτουμε, οι δραστηριότητες έρευνας σας διεξήχθησαν σύμφωνα με τους όρους και τις προϋποθέσεις του παρόντος προγράμματος και σε συμμόρφωση με αυτούς.
Κάθε ερευνητής υποχρεούται να μας υποβάλει ειδοποίηση πριν προβεί σε ενέργειες που ενδέχεται να αντιβαίνουν ή να μην καλύπτονται από την παρούσα πολιτική. Καλωσορίζουμε προτάσεις για διευκρινίσεις πολιτικής που βοηθούν τους ερευνητές να διεξάγουν την έρευνά τους και να υποβάλλουν τις εκθέσεις τους με σιγουριά.