Bankera завжди ставить безпеку своїх клієнтів у пріорітет: наша команда спеціалістів з кібербезпеки невпинно працює над виявленням усіх можливих багів у наших системах. Однак мінімальна вірогідність існування помилок завжди є. Тому ми вирішили відкрити програму, що дозволить нашій спільноті співпрацювати з командою Bankera та допоможе забезпечити надійність, захищеність та високу якість наших п ослуг.
Винагороди розподіляються залежно від критичності помилки, про яку повідомляється. Bankera не встановлює максимальну винагороду за помилки, про які було повідомлено — якщо ви виявите критичну проблему на нашій платформі, винагорода буде відповідно збільшена. Щоб побачити загальну картину, зверніть увагу на рекомендації щодо розподілу винагород у таблиці нижче. Остаточна винагорода визначається виключно на наш розсуд.
Якість опису помилки
Можуть бути призначені більші винагороди за чіткі та детальні описи помилок.
Якість доказу концепції
Нагорода може бути вищою, якщо в звіт включені тестовий код, сценарії та детальні інструкції вирішення проблеми.
Якість запропонованого рішення
Винагорода може бути вищою, якщо звіт містить пропозиції щодо вирішення проблеми.
Критичний
$4,000 - $15,000
Високий
$1,000 - $4,000
Середній
$200 - $1,000
Низький
до $200
Винагороду можна отримати тільки за невідомі помилки, які не були зареєстровані раніше.
Ми виділяємо лише одну винагороду за кожну помічену помилку. Якщо було відправлено декілька звітів про одну і ту саму помилку, ми видамо винагороду тому, хто відправив звіт першим.
Для отримання винагороди не має бути ніяких юридичних перешкод (наприклад, ви не можете брати участь у програмі, якщо ви є резидентом або фізичною особою у країні, щодо якої прийнято міжнародні санкції, зокрема, але не виключно, ЄС, ФАТФ, США, ООН.)
У будь-якому випадку Bankera має право на власний розсуд визначити помилку, про яку було повідомлено, як незначну, а також право на присудження винагороди. Надсилаючи інформацію про помилку, ви погоджуєтеся дотримуватися наведених вище правил.
Звіти про помилки мають бути представлені з детальним покроковим доказом концепції, що допоможе нам відтворити та оцінити проблему. Наприклад, звіт, який пояснює веб-помилку, має містити принаймні:
Не публікуйте файли та/або відомості про проблему. Це правило включає завантаження на будь-які загальнодоступні веб-сайти (наприклад, YouTube, Imgur, Pastebin тощо).
Зашифруйте ваше повідомлення та будь-які вкладення за допомогою нашого відкритого ключа PGP (доступно нижче).
Надсилайте свої звіти про помилки за адресою [email protected].
Якщо наша команда з кібербезпеки не зможе відтворити та підтвердити помилку, винагорода не буде виплачена.
Всі помилки, знайдені у будь-якому сервісі Bankera, потрапляють під дію програми баг-баунті включно з домашньою сторінкою Bankera та платформою інтернет-банкінгу. Загалом, повідомлення про помилки, які потенційно можуть призвести до фінансових втрат або порушення цілісності даних, вважаються достатньо серйозними. До них належать:
Зазвичай, нищенаведені проблеми не вважаються достатньо серйозними, тож повідомлення про них не винагороджуються:
Відповідальне виявлення багів включає в себе, але не обмежується:
Надати нам достатню кількість часу для вирішення проблеми до того як публікувати інформацію про неї.
Докласти максимум зусиль, щоб не порушити конфіденційність інших користувачів, дані, роботу наших сервісів тощо (принцип добросовісної дії).
Під час пошуку помилок, не ошукувати сервіс Bankera та його користувачів (не взаємодіяти з окремими обліковими записами, що включає у себе зміну даних користувачів або отримання доступу до даних облікового запису).
Для виконання експлойтів, що вимагають доступ до облікового запису, використовуйте свій власний обліковий запис.
Якщо ви випадково отримали доступ до приватних даних, ми попросимо вас видалити всю пов'язану з ними інформацію, включаючи коди підключення, особисті дані тощо, після того, як сповістили нас про це.
Якщо у зв'зку з помилкою ви змогли отримати доступ до коштів та/або перемістити їх з Bankera, ви погоджуєтесь повернути їх до Bankera у повному обсязі.
* Щоб заохотити відповідальне виявлення помилок, ми не будемо вдаватись до юридичних дій проти особи, що виявила помилку, якщо та робить все можливе для дотримання рекомендацій, наведених вище.