Programmivigadest teatamise programm
Bankera seab klientide rahaliste vahendite turvalisuse alati esikohale: küberturvalisuse meeskond töötab väsimatult süsteemide võimalike nõrkade kohtade tuvastamiseks. Siiski on alati minimaalne võimalus, et mõned vead võivad endiselt esineda. Seetõttu otsustasime käivitada programmivigadest teatamise programmi, mis võimaldab kasutajatel töötada käsikäes Bankeraga ja aidata teenuseid hoida turvalise ja kvaliteetsena.
Tasud
Preemiaid jagatakse sõltuvalt teatatud programmivea raskusastmele. Bankera ei ole programmivigade tuvastamise eest maksimaalset tasu määranud - kui tuvastate Bankera platvormil kriitilise probleemi, suurendatakse vastavalt ka preemia suurust. Allolevas tabelis on välja toodud programmivigade eest makstavate preemiate jagunemise juhised. Lõpliku preemia suuruse määrab Bankera.
Preemiad jagunevad vastavalt sisalduvale infole:
Programmivea kirjelduse kvaliteet
Selgeid ja põhjalike veaaruandeid tasustatakse kõrgemate preemiatega.Programmivea tõendite kvaliteet
Kõrgema preemiaga tasustatakse aruandeid, kus on esitatud testimiskoodid, skriptid ja üksikasjalikud tõendid.Programmivea parandamise juhiste kvaliteet
Kõrgema preemiaga tasustatakse aruandeid, kus on esitatud ettepanekud programmivea kõrvaldamiseks.
Programmiviga ja preemia
Kriitiline
$4,000 - $15,000
Kõrge
$1,000 - $4,000
Keskmine
$200 - $1,000
Madal
kuni $200
Preemia väljamaksmisel võetakse arvesse ainult tundmatuid ja varem teatamata programmivigasid.
Preemia avastatud programmivea kohta makstakse välja ainult ühe korra. Kui ühe ja sama programmivea kohta esitatakse mitu avaldust, saab preemia esimene programmivea esitaja.
Preemia väljamaksmiseks ei tohi olla mingeid õiguslikke takistusi (nt te ei tohi programmis osaleda, kui olete resident või elate riigis, mille suhtes kehtivad rahvusvahelised sanktsioonid, sealhulgas, kuid mitte ainult, EÜ, FATF, USA, ÜRO).
Bankera jätab endale õiguse otsustada programmivigade olulisuse üle, sealhulgas nende sobivuse osas preemia saamiseks. Programmivea esitamisega nõustute järgima ülaltoodud reegleid.
Kuidas teatada programmiveast
Programmivigade aruanne peaks sisaldama üksikasjalikku samm-sammulist vea kirjeldust, mis võimaldaks avastatud programmiviga taasesitada ja hinnata. Näiteks veebiga seonduvate vigade aruanne peaks sisaldama vähemalt:
- HTTP päringud ja vastused koos mõjutatud parameetritega
- Kuvatõmmised või videod (vajadusel)
- Veebibrauseri kirjeldus (tüüp), OS, seadme ja/või rakenduse versioon
- Programmivea tajutava mõju kirjeldus
- Soovitused probleemi lahendamiseks (valikuline)
Progammiveaga seotud faile ja/või üksikasju ei tohi jagada avalikult. See hõlmab üleslaadimisi kõigile avalikult juurdepääsetavatele veebisaitidele (näiteks YouTube, Imgur, Pastebin jne).
Krüpteerige programmiviga ja kaasnevad manused PGP avaliku võtme abil (saadaval allpool).
Leitud programmivead saatke aadressile [email protected].
Kui küberturvalisuse meeskonnal ei õnnestu programmiviga taasluua ja kinnitada, siis ei kuulu preemia väljamaksmisele.
Sobilikud programmivead
Kõikides Bankera pakutavates teenustes leitavad programmivead sobivad programmivigadest teatamise programmi esitamiseks, sealhulgas Bankera veebiplatvorm ja internetipanga platvorm. Preemia vääriliseks peetakse avastatud programmivigu, mis võivad tekitada potentsiaalset rahalist kahju või põhjustada andmete rikkumist. Need hõlmavad järgmist:
- Päringuvõltsingud (CSRF)
- Murdskriptimine (XSS)
- Koodisüstimine
- Koodi kaugkäivitamine
- Õiguste vallutus
- Autentimisest möödahiilimine
- Klõpsurööv
- Tundliku teabe lekkimine
Sobimatud programmivead
Näited kriteeriumitele mittevastavate programmivigade kohta, mille puhul preemiat välja ei maksta:
- DNSSEC puudumine
- HTTP päisesüst ilma kindla ja tõestatava mõjuta
- Flash põhine ärakasutus
- Autentimist mittevajavatel vormidel või mittetundlikel toimingutel teostatav CSRF
- Klõpsurööv lehtedel, millel pole tundlikke toiminguid
- Programmivead, mis vajavad MITM tuge või füüsilist ligipääsu kasutaja veebibrauserile, e-posti kontole, nutitelefonile ja probleemid lahti murtud seadmetega.
Vastutustundlik avalikustamine
Vastutustundlik avalikustamine hõlmab muu hulgas järgmist:
Mõistliku aja tagamine probleemi lahendamiseks enne selle avaldamist mujal.
Teiste kasutajate privaatsuse austamine, mis tahes andmete hävitamisest või meie teenuste häirimisest hoidumine jms (heauskne tegutsemine).
Programmivea avastamise protsessis Bankera kasutajate või Bankera enda petmisest hoidumine (ei suhtle individuaalse kontoga, mis hõlmab konto muutmist või konto andmetele juurdepääsu).
Konto juurdepääsu vajavate toimingute puhul oma konto kasutamine.
Kogemata privaatsetele andmetele ligipääsedes kõigi vastavate andmete kustutamine, sealhulgas juurdepääsukoodid, privaatsed andmed jms.
Kui Teil oli tarkvara vea korral võimalus kasutada ja/või liigutada Bankera raha, kohustute kogu summa Bankerale tagastama.
* Vastutustundliku programmivigade avalikustamise julgustamiseks ei algatata menetlust programmivigade uurijate vastu, kes juhivad tähelepanu probleemile, kui nad teevad kõik endast oleneva vastavate juhiste järgimiseks.
