Bankera siempre da prioridad a la seguridad de los fondos de sus clientes: nuestro equipo de Ciberseguridad está trabajando incansablemente para detectar posibles vulnerabilidades en nuestros sistemas. Sin embargo, siempre existe una posibilidad mínima de que algunos errores persistan. Por lo tanto, decidimos lanzar un programa de recompensas de errores que permitiría a nuestra comunidad trabajar de la mano con Bankera y ayudará a mantener nuestros servicios seguros y de alta calidad.
Las recompensas se distribuyen según la gravedad de la vulnerabilidad informada. Bankera no ha establecido una recompensa máxima por los errores (bugs) informados; si encuentra un problema crítico en nuestra plataforma, la recompensa se incrementará en consecuencia. Sin embargo, para conocer el panorama general, busque las pautas de distribución de recompensas en la tabla siguiente. La determinación de la recompensa final queda únicamente a nuestra discreción.
La calidad de la descripción
Recompensas más altas podrían ser concedidas para informes claros y extensos.
La calidad de la prueba de concepto
Recompensas más altas podrían ser concedidas si el informe de error incluye scripts, código de prueba e instrucciones detalladas.
La calidad de la corrección, en el caso de que sea incluida
Recompensas más altas podrían ser concedidas en caso de aportar sugerencias para solucionar el problema.
Crítico
$4,000 - $15,000
Alto
$1,000 - $4,000
Medio
$200 - $1,000
Bajo
Hasta $200
Solamente las vulnerabilidades desconocidas y no informadas previamente se considerarán para recibir recompensa.
Solamente será concedida una recompensa por error (bug). Si se envían varios informes por la misma vulnerabilidad, únicamente será recompensado el primer informante.
Para recibir una recompensa, no debe haber ningún impedimento legal para hacerlo (por ejemplo, no puede participar en este programa si es un residente o una persona ubicada dentro de un país sujeto a sanciones internacionales que incluyen, entre otras, UE, GAFI, EE. UU., ONU.)
En cualquier caso, Bankera tiene la facultad discrecional de determinar una vulnerabilidad informada como insignificante, incluida su elegibilidad para una recompensa. Al enviar un error, acepta seguir las reglas mencionadas anteriormente.
Los informes de errores deben presentarse con una prueba de concepto detallada paso a paso, que nos ayude a reproducir y evaluar el problema. Por ejemplo, un informe que explique un error relacionado con la web debe contener al menos:
No comparta ningún archivo y/o detalles relacionados con el error encontrado en forma pública. Esto incluye subir contenido a cualquier plataforma de acceso público (es decir, YouTube, Imgur, Pastebin, etc.).
Cifre el informe y los archivos adjuntos necesarios con nuestra clave pública PGP (disponible a continuación).
Envie sus reportes de errores a [email protected].
Si nuestro equipo de ciberseguridad no puede reproducir y verificar el error, no se pagará la recompensa.
Las vulnerabilidades encontradas en cualquiera de los servicios de Bankera son elegibles para el programa de recompensas por errores, incluyendo la página de aterrizaje de Bankera y la plataforma de banca por Internet. En general, la notificación de errores que podrían resultar en pérdidas financieras o violación de datos son considerados de gravedad suficiente para ser adjudicada una recompensa. Estos pueden incluir:
Generalmente, los siguientes problemas no se consideran lo suficientemente graves y, por lo tanto, no califican para las recompensas:
La divulgación responsable incluye, pero no se limita a:
Brindarnos una cantidad de tiempo razonable para solucionar el problema antes de publicarlo en otro lugar.
No violar la privacidad de otros usuarios, destruir algún dato o interrumpir nuestros servicios, etc. (Actuar de buena fe).
No defraudar a los usuarios de Bankera (no interactuar con una cuenta individual lo que incluye modificar o acceder a datos de la cuenta) ni a Bankera en el proceso de descubrimiento.
Para exploits que necesitan acceso a una cuenta, debe utilizar su propia cuenta.
Si accidentalmente accede a datos privados, le pedimos que elimine toda la información relacionada, incluidos, entre otros, códigos de acceso, datos privados, etc., después de notificarnos.
Si en el caso de un error, pudo acceder y/o mover fondos de Bankera, se compromete a devolver el monto total a Bankera.
* Para fomentar la revelación responsable, no iniciaremos acciones legales contra los investigadores que señalen un problema siempre que hagan todo lo posible por seguir las pautas anteriormente mencionadas.