Politique Bug Bounty
NoOneCrypto INC (également appelé « NoOnes », « nous », « notre », « nos ») fait son possible pour améliorer son produit et fournir des solutions sécurisées à ses clients. Dans cette Politique Bug Bounty (« Politique »), nous décrivons les cas applicables de notre Programme Bug Bounty et comment ce dernier doit être utilisé en conjonction avec votre utilisation de notre Site Internet https://noones.com/, y compris, sans s'y limiter, le Portefeuille NoOnes, notre plateforme d'échange de bitcoins en ligne, l'application mobile, les pages de réseau social ou les autres propriétés en ligne (collectivement appelés le « Site Internet »), ou quand vous utilisez les produits, services, contenus, fonctionnalités, technologies ou fonctions que nous proposons (collectivement appelés « Services »). Cette Politique est conçue pour vous aider à obtenir les informations sur la manière dont vous pouvez participer à notre Programme Bug Bounty, quels résultats de recherche sécurisée sont applicables et quels avantages vous pouvez recevoir. Veuillez noter que les offres de notre Service peuvent changer d'une région à l'autre.
Dans tous les cas, la version en langue anglaise de cet Politique Bug Bounty doit rester l'instrument de référence. Dans le cas où une contradiction existerait entre la version anglaise de cet Politique Bug Bounty et une version traduite dans une autre langue, la version anglaise prévaudra.
Qu'est-ce que le Programme Bug Bounty ?
Pour pouvoir améliorer NoOnes et les Services, le Programme Bug Bounty fournit à nos utilisateurs la possibilité de gagner une récompense quand ils identifient des problèmes techniques.
Comment pouvez-vous nous communiquer vos découvertes dans le cadre du Programme Bug Bounty ?
Toute communication de ce type doit être adressée à [email protected]. Lors de votre envoi, merci de spécifier une description complète de la vulnérabilité et une preuve vérifiable que la vulnérabilité existe (explication, étapes pour reproduire le bug, copies d'écran, vidéos, scripts ou autre).
Règles du programme
La violation de l'une quelconque de ces règles peut entrainer l'inéligibilité à une prime.
- Testez uniquement les vulnérabilités avec un compte que vous possédez ou des comptes pour lesquels vous avez l'accord du propriétaire pour effectuer des tests.
- N'utilisez jamais une faille que vous avez découverte pour compromettre ou exfiltrer des données ou comme pivot pour d'autres systèmes. Utilisez la preuve de concept uniquement pour démontrer un problème.
- Si des informations sensibles comme les données personnelles, les identifiants, etc. sont accessibles dans le cadre d'une vulnérabilité, vous ne devez pas les enregistrer, les stocker, les transférer, y accéder, ou les traiter d'aucune autre manière après la découverte initiale.
- Les chercheurs ne devraient s'engager dans aucune activité qui pourrait interrompre, endommager ou nuire à NoOnes et ils n'y sont pas autorisés.
- Les chercheurs ne doivent pas dévoiler publiquement leur découvertes (partager des détails quels qu'ils soient avec quiconque en dehors des employés autorisés de NoOnes) ou partager par ailleurs les vulnérabilités avec un tiers, sans l'autorisation expresse de NoOnes.
Comment évaluons-nous les problèmes identifiés dans le cadre du Programme Bug Bounty ?
Toutes les découvertes sont évaluées en utilisant une approche basée sur le risque.
Contrat de non divulgation
Avant de pouvoir discuter des détails liés aux problèmes confirmés identifiés dans le cadre du Programme Bug Bounty, y compris les compensations et autres, nous vous demanderons de signer un Contrat de non divulgation.
Comment attribuons-nous les récompenses liées au Programme Bug Bounty ?
Ce genre de récompense est remise par NoOnes. Toutes les récompenses sont attribuées uniquement si elles ne sont pas contraires aux lois et régulations applicables, y compris, mais sans s'y limiter, les sanctions commerciales et restrictions économiques.
Combien de temps faut-il pour analyser vos découvertes du Programme Bug Bounty ?
Du fait de la nature complexe et changeante des problèmes techniques, nous ne pouvons établir de calendrier d'analyse des découvertes du Programme Bug Bounty. Nos analyses ne sont terminées que quand nous confirmons l'existence d'une faiblesse ou son absence.
Quels sont les cas exclus du Programme Bug Bounty ?
Certaines vulnérabilités sont considérées comme hors du champ du programme Bug Bounty. Ces vulnérabilité hors champ comprennent de manière non exclusive :
- Le spam ;
- Les vulnérabilités qui nécessitent une ingénierie sociale ou hameçonnage :
- les attaques DDOS ;
- Les problèmes hypothétiques qui n'ont aucun impact pratique :
- les faiblesses de sécurité des applications ou sites tiers intégrés à NoOnes ;
- Les sorties de scanner ou rapports générés par scanner ;
- les problèmes trouvés suite à un test automatique ;
- Les bugs publiés sur Internet dans les 30 jours suivant leur découverte ;
- Attaques de l'homme du milieu ;
- Injection dans l'en-tête de l'hôte sans impact spécifique démontrable ;
- Attaques Self-XSS, y compris tout paiement saisi par la victime ;
- Falsification de requêtes intersites lors de la connexion/déconnexion ;
- Login/logout Clickjacking;
Si vous cherchez plus d'informations sur cette Politique, contactez-nous à [email protected].