Geschäftsbedingungen

Sicherheitsprobleme melden
Wenn Sie eine Sicherheitslücke in Ciencia gefunden haben, empfehlen wir Ihnen, uns umgehend eine Nachricht zu senden. Wir werden alle legitimen Schwachstellenberichte prüfen und alles daran setzen, das Problem schnell zu beheben. Lesen Sie vor dem Melden dieses Dokument durch, einschließlich des Grundprinzips, des Kopfgeldprogramms, der Belohnungsrichtlinien und der Informationen, die nicht gemeldet werden sollten. 

Grundprinzip
Wenn Sie bei der Meldung eines Sicherheitsproblems an Ciencia die folgenden Grundsätze einhalten, werden wir in Reaktion auf Ihren Bericht keine gerichtlichen oder strafrechtlichen Ermittlungen gegen Sie einleiten. Wir bitten Sie um Folgendes : 
1. Sie geben uns ausreichend Zeit, um ein von Ihnen gemeldetes Problem zu überprüfen und zu beheben, bevor Sie Informationen über den Bericht veröffentlichen oder diese Informationen an andere weitergeben.
2. Sie interagieren nicht mit einem einzelnen Konto (was das Ändern oder Zugreifen auf Daten aus dem Konto einschließt), wenn der Kontoinhaber solchen Aktionen nicht zugestimmt hat. 
3.Sie bemühen sich nach bestem Wissen und Gewissen, Verletzungen und Störungen der Privatsphäre anderer zu vermeiden, einschließlich (aber nicht beschränkt auf) Zerstörung von Daten und Unterbrechung oder Verschlechterung unserer Dienste. 
4.Sie nutzen ein Sicherheitsproblem, das Sie aus irgendeinem Grund entdecken, nicht aus. (Dazu gehört der Nachweis eines zusätzlichen Risikos, z. B. der Versuch, vertrauliche Unternehmensdaten zu kompromittieren oder nach zusätzlichen Problemen zu 
suchen .) 5. Sie verstoßen nicht gegen andere geltende Gesetze oder Bestimmungen. 


Kopfgeldprogramm
Wir erkennen Sicherheitsforscher an und belohnen sie, die uns dabei helfen, Menschen zu schützen, indem sie Schwachstellen in unseren Diensten melden. Die Höhe der finanziellen Gegenleistungen für solche Meldungen liegt ganz im Ermessen von Ciencia, basierend auf Risiken, Auswirkungen und anderen Faktoren. Um sich möglicherweise für eine Prämie zu qualifizieren, müssen Sie zunächst die folgenden Anforderungen erfüllen: 1. 
Halten Sie sich an unser Grundprinzip (siehe oben). 
2. Melden Sie einen Sicherheitsfehler, dh identifizieren Sie eine Sicherheitslücke in unseren Diensten oder unserer Infrastruktur, die ein Sicherheits- oder Datenschutzrisiko darstellt. (Beachten Sie, dass Ciencia letztendlich das Risiko eines Problems bestimmt und dass viele Fehler keine Sicherheitsprobleme sind.) 
3. Reichen Sie Ihren Bericht über unsere E-Mail-Adresse " ciencia62@gmail.com " ein"Senden Sie eine E-Mail und beantworten Sie den Bericht mit Aktualisierungen. Bitte wenden Sie sich nicht direkt oder über andere Kanäle an Mitarbeiter. Wenn Sie Fragen oder Probleme mit Ihrer Bestellung haben, wenden Sie sich an unser Support-Center unter" ciencia62@gmail.com ". 4. Wenn Sie versehentlich eine Verletzung der Privatsphäre oder Störungen (wie zB den Zugriff auf Kontodaten, Dienstkonfigurationen oder andere vertrauliche Informationen) verursachen , während ein Problem zu untersuchen, sollten Sie dies in Ihrem Bericht offen zu legen. 5. Wir untersuchen und darauf zu reagieren zu allen gültigen Berichte. Aufgrund des Volumens von Berichten , die wir allerdings erhalten, priorisieren wir Auswertungen auf Basis von Risiko und anderen Faktoren, und es kann einige Zeit dauern , bis Sie eine Antwort. erhalten 6.Wir behält sich das Recht Berichte zu veröffentlichen. 


Belohnungen
Unsere Belohnungen basieren auf den Auswirkungen einer Schwachstelle. Wir werden das Programm im Laufe der Zeit basierend auf Feedback aktualisieren. Geben Sie uns daher bitte Feedback zu jedem Teil des Programms, von dem Sie glauben, dass wir es verbessern können. 
1. Stellen Sie detaillierte Berichte mit reproduzierbaren Schritten zur Verfügung. Wenn der Bericht nicht detailliert genug ist, um das Problem zu reproduzieren, ist das Problem nicht für eine Prämie qualifiziert. 
2.Wenn Duplikate auftreten, vergeben wir den ersten Bericht, den wir vollständig reproduzieren können. 
3.Mehrere Sicherheitslücken, die durch ein zugrunde liegendes Problem verursacht wurden, erhalten ein Kopfgeld. 
4. Wir bestimmen die Kopfgeldprämie auf der Grundlage einer Vielzahl von Faktoren, einschließlich (aber nicht beschränkt auf) Auswirkungen, Benutzerfreundlichkeit und Qualität des Berichts. Wir weisen ausdrücklich auf die Prämien hin, die unter aufgeführt sind. 
5. Beträge unten sind  das Maximum Wir zahlen pro Level. Wir sind bemüht, fair zu sein, alle Belohnungsbeträge liegen in unserem Ermessen. 
Kritische Schwere Sicherheitslücken ($ 1000):  Schwachstellen , die eine Rechteausweitung auf der Plattform von unprivilegierten der Server - Betreibern verursachen, ermöglicht Remotecodeausführung, finanziellen Diebstahl etc. Beispiele: 
· Remotecodeausführung 
· Remote Shell / Befehlsausführung 
· Vertikale Authentication Bypass 
· SQL Injection dass Leckagen gezielt Daten 
· vollen Zugriff auf Konten Get 
Hoch Schwere Sicherheitslücken ($ 500):  Schwachstellen, die die Sicherheit der Plattform einschließlich der Prozesse beeinflussen es unterstützt. Beispiele: 
· Umgehung der seitlichen Authentifizierung 
· Offenlegung wichtiger Informationen innerhalb des Unternehmens 
· Speicherung von XSS für einen anderen Benutzer
· Einbeziehung lokaler Dateien 
· Unsicherer Umgang mit Authentifizierungscookies 
Sicherheitsanfälligkeiten mittlerer Schwere (300 USD):  Sicherheitsanfälligkeiten, die mehrere Benutzer betreffen und deren Auslösung nur eine geringe oder keine Benutzerinteraktion erfordert. Beispiele: 
· Häufige Fehler im Logikdesign und Fehler in Geschäftsprozessen 
· Unsichere direkte Objektreferenzen 
Sicherheitsanfälligkeiten mit niedrigem Schweregrad (50 USD):  Probleme, die einzelne Benutzer betreffen und deren Auslösung eine Interaktion oder wesentliche Voraussetzungen (MITM) erfordern. Beispiele: 
· Open Redirect 
· Reflective XSS 
· Niedrige Empfindlichkeit Informationslecks
Message Us