كيفية الابلاغ عن مشكلة محتملة في الأمن السيبراني أو خطأ أو ثغرة أمنية؟
للإبلاغ عن أي ثغرة أمنية، يرجى تعبئة النموذج https://gbk.vulnerability-disclosure.com
برنامج مكافآت الثغرات الأمنية (Bug Bounty Program) لبنك الخليج
باحث سيبراني، خبراء ومختصين وهاكرز أخلاقيين - كيف تسجل في برنامج مكافآت الثغرات الأمنية ؟
- اذهب الى www.yeswehack.com
- قم بتسجيل حسابك واستكمال التحقق من هوية العميل (KYC)
- تواصل معنا على bugbounty@gulfbank.com.kw باستخدام اسم المستخدم المسجل الخاص بك.
شروط وأحكام البرنامج الخاصة ببنك الخليج
تُعد هذه الشروط والأحكام ("الشروط") عقداً ملزماً من الناحية القانونية بين بنك الخليج ش.م.ك.ع (المشار إليه فيما بعد بـ"بنك الخليج" أو "نحن" أو "لنا" بحسب سياق النص)، وبين الأفراد المؤهلين (المشار إليهم فيما بعد بعبارة "المشارك/ المشاركين" أو "أنت"، "لك" / "كاف المخاطب" بحسب سياق النص) الراغبين في المشاركة في برنامج مكافآت الثغرات الأمنية (Bug Bounty Program) (المشار إليه بعبارة"البرنامج"). وتحدد هذه الشروط ماهية الثغرات الأمنية التي يمكن للمشاركين اكتشافها في منتجات البنك ("الثغرة/الثغرات الأمنية"). وتعطي المشاركين الذين يقومون باكتشاف والإبلاغ عن هذه الثغرات أهلية الحصول على مكافآت مالية ("المكافأة/ المكافآت المالية") بالمبلغ الذي يحدده بنك الخليج وفقاً لتقديره وحده وبموجب هذه الشروط والأحكام.
1. التعاريف
"الثغرات البرمجية (Bugs)"
هي خلل في الشفرة البرمجية تسبب بعدم عمل البرنامج بالشكل المطلوب.
"الثغرات الأمنية (Vulnerabilities)"
الثغرة الأمنية هي نقطة ضعف في الموقع الالكتروني أو نظام التطبيق يمكن أن يُستغل من قبل جهة غير مصرح لها حيث يمكّنها ذلك من تجاوز أنظمة الدخول أو التسبب بأضرار.
2. الأهلية
وفقاً لشروط Bug Bounty لكي تتأهل للمشاركة، عليك استيفاء المتطلبات التالية:
- عدم تقديم الثغرات المعروفة الموجودة من قبل البنك حيث لن تؤدي إلى دفع أي مكافأة وسيتم إعطاء الأولوية للثغرات التي تؤدي إلى اختراق أنظمة البنك في العالم الحقيقي.
- استيفاء متطلب السن القانوني وفقاً لقوانين الدولة التي تقيم فيها والأهلية القانونية للمشاركة في شروط وأحكام Bug Bounty والالتزام بها إذا كنت مشاركاً في البرنامج بصفة "فرد".
- أن تكون أول شخص يبلغ عن الثغرة الأمنية أو يكشفها لبنك الخليج وفقا لشروط Bug Bounty، بما في ذلك إرسال معلومات كافية من خلال تقديم معلومات كافية من خلال برنامج الإفصاح عن الثغرات في بنك الخليج.
- تقديم معلومات كافية لتمكين بنك الخليج من إصلاح الثغرات الأمنية.
- عدم القيام بأي تصرف غير مشروع عند اكتشاف الثغرة الأمنية أو الإبلاغ عنها أو الكشف عنها لبنك الخليج، بما في ذلك عدم اللجوء إلى أسلوب التهديد أو المطالبة بمقابل أو أي أساليب قسرية أخرى.
- عدم استغلال أو محاولة استغلال الثغرة الأمنية بأي شكل من الأشكال، بما في ذلك عن طريق كشفها للعلن أو عن طريق الحصول على ربح أو منفعة أخرى (بخلاف المكافأة الممنوحة بموجب البرنامج).
- بذل الجهد المطلوب لتتمكن من تجنب أي انتهاكات للخصوصية، إتلاف البيانات، تعطيل أو تراجع مستوى أي خدمات أو موقع (كما هو معرّف في شروط الاستخدام)، بما في ذلك استخدام وسائل اختبار آلية تتسبب في توليد حجم كبير من الحركة على الشبكة.
- الإبلاغ عن ثغرة أمنية واحدة فقط لكل تقرير أو بلاغ، ما لم يكن هناك حاجة إلى الجمع بين الثغرات الأمنية لتوفير معلومات كافية عن أية ثغرة أمنية يتم اكتشافها.
- الامتناع عن الإبلاغ عن ثغرة أمنية تكون ناتجة عن نفس المشكلة الأساسية التي سبق أن تم الحصول على مكافأة بشأنها ضمن البرنامج.
- الامتناع عن المطالبة بمكافأة مقابل تقديم تفاصيل عن الثغرات الأمنية أو الاعتراض على قابلية تطبيق البرنامج عليك بالتحديد، بما في ذلك أي دفعات مقترحة أو فعلية، أو مقابل تصنيف الثغرة الأمنية،
- ألا تكون موظفاً حالياً أو سابقاً (خلال ستة أشهر) أو مزود خدمة أو طرف متعاقد أو وكيلاً لبنك الخليج.
يحتفظ بنك الخليج بالحق في تقييد أو رفض أهليتك للمشاركة في البرنامج لأي سبب وفقاً لتقديره وحده، بموجب أي قانون معمول به. وفي حال اكتشف بنك الخليج أي إخلال لهذه الشروط، يجوز لبنك الخليج أن يختار التالي، من بين أمور أخرى:
- منعك من استخدام الخدمات أو الموقع.
- حجب أو تعديل أو إلغاء مزايا البرنامج أو المكافآت بموجب البرنامج.
- المطالبة باسترداد أي مكافآت تم صرفها لك، بما في ذلك اتخاذ أي إجراء قانوني للحصول عليها.
3. متطلبات الإفصاح والإبلاغ
يجب الإبلاغ عن أي ثغرة تم اكتشافها فقط إلى برنامج الإفصاح عن الثغرات الخاص بالبنك. على أن تتماشى مع كافة المتطلبات الأخرى لهذا البرنامج.
يجب ألا يكون قد تم الإفصاح عن الثغرة الأمنية للجمهور أو لأي أشخاص آخرين قبل إبلاغ بنك الخليج بها وقيام الأخير بإصلاح المشكلة ومنح الإذن بمثل هذا الإفصاح، إن كان سيحدث على الإطلاق. ويتعين إبلاغ بنك الخليج خلال أربع وعشرين (24) ساعة من اكتشاف الثغرة الأمنية. وفي حال تم الإبلاغ عن ثغرات أمنية مماثلة خلال الفترة المحددة بالأربع والعشرين (24) ساعة، يجوز لبنك الخليج تقسيم المكافأة بين الأشخاص المبلغين، أو يجوز له صرفها لأول شخص يقدم البلاغ، وفي كلتا الحالتين يتم تحديد مبلغ المكافأة وفقاً لتقدير بنك الخليج وحده.
4. المكافآت المالية
وفقاً لشروط البرنامج قد يحصل المشارك على مكافأة مالية يصل قدرها لغاية 1200 دولار أمريكي بحسب درجة خطورة الثغرة الأمنية التي تم الإبلاغ أو الكشف عنها. ويتم وضع التصنيف وتحديد درجة الخطورة للثغرة الأمنية وتقدير قيمة المكافأة وفقاً لتقدير بنك الخليج وحده.
5. التعويض وحدود المسؤولية القانونية
يكون المشارك مسؤولاً عن أي خسائر قد يتكبدها بنك الخليج نتيجةً لإخلال المشارك بهذه الشروط وملزماً بتعويض بنك الخليج عنها، بما في ذلك الخسائر الناشئة عن الإهمال الجسيم وسوء التصرف المتعمد ومخالفة القانون من قبل المشارك.
دون الإخلال بأي حكم آخر منصوص عليه في هذه الشروط، فإن الحد الأقصى للمسؤولية القانونية للبنك تجاه المشترك بموجب هذه الشروط (بخلاف مبلغ المكافأة التي قد تحق للمشارك) هو 30 دولار أمريكي فقط لا غير. ويتنازل المشارك عن كافة حقوقه في مضاعفة أو زيادة أية تعويضات.
6. الخصوصية
تعتبر مشاركتك في البرنامج بمثابة إقرار وموافقة منك بأن يتم الاحتفاظ بأي معلومات شخصية تقدمها وفقاً لسياسة الخصوصية أدناه. وتعتبر المشاركة في البرنامج بمثابة التزام منك بما يلي:
- منح بنك الخليج الحق في استخدام اسمك وبلد إقامتك وعنوان بريدك الإلكتروني وأي معلومات أخرى تقدمها إلى بنك الخليج ("المعلومات الشخصية") لغرض إدارة البرنامج.
- منح بنك الخليج الحق في استخدام معلوماتك الشخصية لأغراض الدعاية والترويج والتسويق والإعلان المتعلقة بالبرنامج في أي وجميع وسائل الإعلام المعروفة حالياً أو التي يتم ابتكارها فيما بعد، ودون تعويض إضافي، ما لم يحظرها القانون المعمول به.
- الإقرار بأنه يجوز لبنك الخليج الكشف عن معلوماتك الشخصية لوكلائه ومزودي الخدمات التي يتعامل معها من الأطراف الثالثة فيما يتعلق بأي من الأنشطة المذكورة أعلاه.
على أن يستخدم بنك الخليج معلوماتك الشخصية فقط للأغراض المحددة والمنصوص عليها في سياسة الخصوصية. ويكون أي تعارض بين سياسة الخصوصية وأي تفويض و / أو إذن منصوص عليه في هذه الشروط خاضعاً لهذه الشروط.
في حال تمكنك من الوصول إلى أي معلومات شخصية أو حساسة أخرى لا تمتلك صلاحية الوصول إليها، يتعين عليك التوقف فوراً عن الدخول على مثل هذه المعلومات، وإخطار بنك الخليج على الفور، وإتلاف جميع النسخ المرتبطة بها.
7. سياسة الخصوصية
جميع المعلومات الخاصة ببنك الخليج، بما في ذلك، على سبيل المثال لا الحصر، المعلومات غير المتاحة للجمهور والناتجة عن أنشطة البنك والتي تتعلق بالبنك أو الشركات التابعة له أو كيانات أخرى، تعتبر معلومات سرية خاصة ببنك الخليج.
وبالنسبة للمعلومات الشخصية التي يحصل عليها المشارك من بنك الخليج، يوافق المشارك على:
- عدم الكشف عن أي معلومات شخصية (وفقاً للتعريف الوارد في هذا البند) إلى أي طرف ثالث أو لأي موظف أو وكيل لا تستدعي مهامه الوظيفية الاطلاع على تلك المعلومات الشخصية لأداء التزامات المشارك المشمولة في هذه الاتفاقية،
- عدم استخدام المعلومات الشخصية لأي غرض آخر بخلاف الوفاء بالتزامات المشارك بموجب هذه الاتفاقية،
- التأكد من وجود تدابير أمنية كافية لحماية المعلومات الشخصية من التسرب أو الضياع أو إساءة الاستخدام،
- السماح لبنك الخليج بالتحقق من طريقة تعامله مع المعلومات الشخصية وتقديم أي تقارير عن كيفية إدارة المعلومات الشخصية من قبل المشارك بناءً على طلب بنك الخليج.
- إخطار بنك الخليج على الفور في حالة اكتشاف المشارك تسرب أو فقدان أو إساءة استخدام المعلومات الشخصية أو أي خرق لقوانين أو تعليمات معمول بها لحماية البيانات الشخصية. "المعلومات الشخصية" تعني المعلومات الخاصة بشخص حي وتشمل الاسم الكامل وتاريخ الميلاد وأي وصف، رقم، رمز، أو كود آخر، أو صورة، أو صوت ينسب إلى فرد ويمكن استخدامها لتحديد هوية شخص معين، والتي يحصل عليها الطرفان من خلال هذه الاتفاقية.
8. عدم التنازل
لا يجوز للمشارك التنازل عن أو تحويل أي حقوق أو التزامات بموجب هذه الاتفاقية تحت أي ظرف كان. ويُعتبر أي تنازل أو تحويل مزعوم للحقوق بما يخالف هذا البند باطلاً وعديم الأثر.
9. القانون الحاكم والاختصاص القضائي
تخضع هذه الاتفاقية وتفسر وفقاً لقوانين دولة الكويت بصرف النظر عن أي تعارض بين مبادئ القوانين. ويتم إحالة جميع النزاعات الناشئة عن هذه الاتفاقية إلى المحاكم المختصة في دولة الكويت.