Si ha encontrado una vulnerabilidad de seguridad en ZAFUL, le recomendamos que nos envíe un mensaje de inmediato. Revisaremos todos los informes de vulnerabilidad legítimos y haremos todo lo posible para resolver rápidamente el problema. Antes de informar, revise este documento, incluido el principio básico, el programa de recompensas, las pautas de recompensas y lo que no se debe informar.

Principio básico

Si cumple con los principios a continuación al informar un problema de seguridad a ZAFUL, no iniciaremos una demanda o investigación policial en su contra en respuesta a su informe. Pedimos que:

1. Usted nos da un tiempo razonable para revisar y reparar un problema que informe antes de hacer pública cualquier información sobre el informe o compartir dicha información con otros.

2.No interactúa con una cuenta individual (que incluye modificar o acceder a los datos de la cuenta) si el propietario de la cuenta no ha dado su consentimiento para tales acciones.

3.Usted hace un esfuerzo de buena fe para evitar violaciones de privacidad e interrupciones a otros, incluida (entre otras) la destrucción de datos y la interrupción o degradación de nuestros servicios.

4. No explota un problema de seguridad que descubra por ningún motivo. (Esto incluye demostrar un riesgo adicional, como el intento de comprometer los datos confidenciales de la empresa o buscar problemas adicionales).

5.No infringe ninguna otra ley o normativa aplicable.

Programa de recompensas

1. Adhiérase a nuestro Principio Básico (ver arriba).

2.Informe un error de seguridad: es decir, identifique una vulnerabilidad en nuestros servicios o infraestructura que cree un riesgo de seguridad o privacidad. (Tenga en cuenta que ZAFUL determina en última instancia el riesgo de un problema, y ​​que muchos errores no son problemas de seguridad).

3.Envíe su informe a través de nuestro Centro de Seguridad.Por favor no contacte a los empleados

4.Si inadvertidamente causa una violación o interrupción de la privacidad (como acceder a los datos de la cuenta, configuraciones de servicio u otra información confidencial) mientras investiga un problema, asegúrese de revelar esto en su informe.

5. Investigamos y respondemos a todos los informes válidos lo antes posible. Sin embargo, debido al volumen de informes que recibimos, priorizamos las evaluaciones basadas en el riesgo y otros factores, tomará 5 días hábiles antes de que reciba una respuesta.

6. Nos reservamos el derecho de publicar informes.

Recompensas

Nuestras recompensas se basan en el impacto de una vulnerabilidad. Actualizaremos el programa a lo largo del tiempo en función de los comentarios, así que envíenos sus comentarios sobre cualquier parte del programa que crea que podemos mejorar.

1. Proporcione informes detallados con pasos reproducibles. Si el informe no es lo suficientemente detallado como para reproducir el problema, el problema no será elegible para la recompensa.

2. Cuando se producen duplicados, otorgamos el primer informe que podemos reproducir por completo.

3. Las vulnerabilidades múltiples causadas por un problema subyacente recibirán una recompensa..

4. Determinamos la recompensa de recompensa en función de una variedad de factores, que incluyen (entre otros) el impacto, la facilidad de explotación y la calidad del informe. Observamos específicamente las recompensas de recompensas, que se enumeran a continuación.

5. Las cantidades a continuación son la maximaPagaremos por nivel. Nuestro objetivo es ser justos, todos los montos de recompensas son a nuestra discreción.