Bedingungen des Bug Bounty Programms
Version:
R25|01
Zuletzt aktualisiert am:
June 27, 2024
Hier finden Sie die Bedingungen, die sich speziell auf die Teilnehmer unseres Bug Bounty Programms beziehen. Diese Bedingungen sollten in Verbindung mit den Allgemeinen Geschäftsbedingungen für Geschäftspartner (die "Allgemeinen Geschäftsbedingungen") gelesen werden. Alle definierten Begriffe, die in diesen Bug Bounty Programmbedingungen verwendet werden, haben die Bedeutung, die ihnen in den Allgemeinen Geschäftsbedingungen gegeben wird.
1. Einführung
1.1. Diese Bedingungen beziehen sich auf Ihre freiwillige Teilnahme am Bug Bounty-Programm von Deriv, das Anreize für Teilnehmer schafft, Schwachstellen oder Fehler im Softwaresystem oder in den Netzwerken von Deriv zu entdecken und zu melden und dafür eine finanzielle Belohnung zu erhalten (das "Programm"). Indem Sie uns eine Sicherheitslücke im Zusammenhang mit einem der Deriv-eigenen Webdienste melden oder anderweitig an dem Programm teilnehmen, bestätigen Sie, dass Sie diese Bedingungen gelesen haben und ihnen zustimmen.
1.2. Sie erkennen an, dass es sich bei dem Programm nicht um einen Wettbewerb, sondern um ein experimentelles und diskretionäres Belohnungsprogramm handelt.
2. Umfang
2.1. Der Umfang des Programms wird auf der Programm-Webseite im Detail beschrieben. Wenn Sie sich nicht sicher sind, ob bestimmte Inhalte in den Geltungsbereich dieses Programms fallen, senden Sie eine E-Mail an [email protected], um dies zu überprüfen, bevor Sie irgendwelche Testversuche unternehmen.
3. Berechtigte Teilnehmer
3.1. Sie können nicht an dem Programm teilnehmen, wenn:
3.1.1. Ihr Arbeitgeber oder die Organisation, für die Sie arbeiten, erlaubt Ihnen nicht die Teilnahme an dieser Art von Programmen;
3.1.2. Sie sind oder waren bei uns oder einem unserer Konzernunternehmen beschäftigt;
3.1.3. Sie sind ein unmittelbares Familienmitglied eines Mitarbeiters oder eines ehemaligen Mitarbeiters von uns oder einem unserer Konzernunternehmen.
3.2. Wenn wir wissen oder Grund zu der Annahme haben, dass Sie eines der oben genannten Kriterien erfüllen, behalten wir uns das Recht vor, Sie vom Programm zu disqualifizieren und jegliche Kopfgeldzahlungen an Sie zu stornieren.
4. Mögliche Belohnungen
4.1. Wir behalten uns das Recht vor, zu entscheiden, ob der eingereichte Schwachstellenbericht für eine Belohnung in Frage kommt. Die Entscheidung, ob wir eine Belohnung auszahlen oder nicht, liegt ganz in unserem Ermessen.
4.2. Alle unsere Feststellungen über die Höhe eines Kopfgeldes sind endgültig.
4.3. Die Höhe der Prämien richtet sich nach der Klassifizierung und Sensibilität der betroffenen Daten, der Leichtigkeit der Ausnutzung und dem Gesamtrisiko für unsere Kunden und unsere Marke, wenn die gemeldete Schwachstelle von unserem Sicherheitsteam als gültiges Sicherheitsproblem eingestuft wird.
5. Anforderungen für die Einreichung von Fehlern
5.1. Ihre Einsendung muss den unten stehenden Richtlinien entsprechen:
5.1.1. Geben Sie eine vollständige Beschreibung der Sicherheitslücke, die Sie melden, einschließlich der Ausnutzbarkeit und der Auswirkungen.
5.1.2. Legen Sie Nachweise und Erläuterungen zu allen erforderlichen Schritten für die Reproduktion der Vorlage vor, die Folgendes umfassen können:
5.1.2.1. Videos;
5.1.2.2. Screenshots;
5.1.2.3. Code ausnutzen;
5.1.2.4. Verkehrsprotokolle;
5.1.2.5. Web/API-Anfragen und Antworten;
5.1.2.6. E-Mail-Adresse oder Benutzer-ID von Testkonten; und/oder
5.1.2.7. Während des Tests verwendete IP-Adresse.
5.2. Wenn Sie einen der oben genannten Punkte nicht angeben, kann dies die Auszahlung einer Prämie verzögern oder gefährden.
6. Offenlegung sensibler Informationen
6.1. Sie verpflichten sich, entdeckte Sicherheitslücken (auch behobene) nicht ohne unsere schriftliche Zustimmung außerhalb des Programms zu diskutieren.
6.2. Sie verpflichten sich, die Offenlegungsrichtlinien von Deriv zu befolgen. Wenn Sie glauben, eine Sicherheitslücke entdeckt zu haben, melden Sie diese bitte zusammen mit einer ausführlichen Erläuterung der Schwachstelle unter Einhaltung der unter Ziffer 5 genannten Richtlinien.
7. Lizenz
7.1. Sie gewähren uns hiermit eine unentgeltliche, voll bezahlte, unbefristete, unwiderrufliche, exklusive, weltweite, übertragbare und unterlizenzierbare Lizenz in Bezug auf jeden Bericht und jedes Feedback, das Sie uns geben. Sie stimmen zu, dass wir die uneingeschränkten Rechte haben, den Bericht und das Feedback zu nutzen. Wir behalten uns das Recht vor, einige oder alle Artikel, die Sie uns zur Verfügung stellen, nicht zu verwenden. Sie verzichten auf jegliche Entschädigung für die Aufnahme von Materialien in einen Bericht oder auf jegliches Feedback, das Sie uns zu unseren Produkten und Dienstleistungen geben.
7.2. Sie erkennen außerdem an, dass wir möglicherweise Materialien entwickelt oder in Auftrag gegeben haben, die der Einsendung ähnlich oder identisch sind, und verzichten auf Ansprüche, die Sie möglicherweise aufgrund von Ähnlichkeiten mit der Einsendung haben. Sie verstehen, dass Ihnen keine Vergütung oder Anerkennung für die Verwendung des Beitrags garantiert wird.
7.3. Sie erklären und garantieren, dass Ihr Beitrag Ihr eigenes Werk ist, dass Sie keine Informationen verwendet haben, die im Besitz einer anderen Person oder Einrichtung sind, und dass Sie rechtlich befugt sind, uns die Lizenz in dieser Klausel 7 zu erteilen.
8. Ihre Verpflichtungen
8.1. Sie dürfen nur dann an dem Programm teilnehmen, wenn Sie dabei alle geltenden Gesetze, Regeln und Vorschriften einhalten. Es liegt in Ihrer Verantwortung, sich mit den örtlichen Gesetzen vertraut zu machen und diese zu befolgen, da diese möglicherweise zusätzliche Einschränkungen für Ihre Teilnahme am Programm vorsehen.
8.2. Sie sind für alle steuerlichen Auswirkungen Ihrer Teilnahme am Programm verantwortlich, die von Ihrem Wohnsitzland und Ihrer Staatsbürgerschaft abhängen.
8.3. Ihre Tests dürfen keine Daten stören oder gefährden, die nicht Ihre eigenen sind.
8.4. Sie dürfen keine unangemessenen Inhalte oder Materialien teilen.
8.5. Sie dürfen die Rechte Dritter nicht verletzen und sich nicht an Aktivitäten beteiligen, die die Privatsphäre anderer verletzen.
8.6. Sie dürfen sich nicht an Aktivitäten beteiligen, die für uns, das Programm oder andere schädlich sind (einschließlich der Übertragung von Viren).