Bug Bounty Program 약관

주식회사 체커 (이하 "회사")는 CHEQUER 서비스의 버그바운티 취약점 보고에 대한 포상을 지급하는 CHEQUER Bug Bounty(이하 "본 프로그램")을 시행합니다. 본 프로그램에 참여하고 포상을 받기 원하는 개인은 본 약관에 동의해야 하며, Bug Bounty를 보고하는 경우 본 약관에 동의한 것으로 간주됩니다.

제 1 조 (목적)

본 프로그램은 회사 서비스의 취약점 및 버그를 조기에 발견하여 고치고 개선하여, 회사 서비스 이용자(이하 "이용자")에게 보다 안전한 서비스를 제공하는 것을 목적으로 합니다.

제 2 조 (참가 자격, 참가 방법 등)

1. 본 프로그램에 참여하기 위한 참가자(이하 "참가자")는 다음과 같은 자격을 충족해야 합니다.
   • 한국어 또는 영어로 의사소통이 가능해야 합니다.
   • 포상의 지급 시점에서 한국, 미국 또는 기타 국가 및 지역의 경제제재 대상국에 거주하지 않는 자여야 합니다.
2. 참가자가 본 프로그램에 참여하기 위해서는 회사가 지정한 웹사이트에서 제보하여야 합니다.
3. 본 프로그램 참가에 필요한 제반 경비는 참가자가 부담합니다.
4. 본 프로그램 운영과 관련하여 필요한 연락은 메일을 통해 이루어 집니다.

제 3 조 (대상)

본 프로그램의 대상이 되는 서비스는 다음과 같습니다. 대상 서비스 외의 제보는 포상 대상이 아닙니다.

• QueryPie
• Homepage
  • querypie.com
  • *.querypie.com

제 4 조 (기간)

1. 본 프로그램은 상시로 진행합니다. 단, 회사는 필요에 따라 사전 통보 없이 본 프로그램을 종료할 수 있습니다.
2. 1항에 따라 회사는 본 프로그램이 종료된 후라 하더라도 종료 전 접수된 보고한 취약점이 있을 경우 이를 검토하여 결과에 대해 응답합니다.

제 5 조 (제보 방법)

참가자는 Bug Bounty 제보 사이트를 통해 제보하며, 제보 사이트를 통하지 않은 방법으로 보고하였을 경우 포상 대상에서 제외됩니다.

제 6 조 (제출물 검토 및 포상)

1. 회사는 제보한 취약점의 중요도에 따라 회사의 재량으로 소정의 포상을 결정합니다.

   아래의 취약점은 포상을 지급하지 않습니다.

   무차별 대입 공격을 사용한 계정/이메일 열거	취약점이 재현되지 않는 경우
   이미 공개적으로 알려진 취약점	Zero Day 취약점으로 미처 수정되지 못한 경우
   URL Redirection	Clickjacking/UI Redressing
   Physical attacks	Missing cookie flags
   HTTP Host Header XSS	"Self" XSS
   Denial-of-Service(DoS) Attack	서버의 어플리케이션 정보 노출
   Missing Security HTTP Headers	클라이언트 측 자동 완성 또는 저장된 비밀번호/자격 증명
   에러페이지를 이용한 페이지 변조	Security, CSP 헤더 관련
   CHEQUER 서비스 이외의 모든 어플리케이션	Social Engineering attacks
   내부 스캔, 악용 또는 데이터 유출	그 외 보안상 위협이 없다고 판단되는 취약점
   제보받은 시점에서 취약점이 재현되지 않는 경우	취약점이 재현되더라도 회사가 이미 인지하고 있을 경우
   본 프로그램 약관을 위배하였을 경우

2. 회사는 유사한 취약점에 대한 보고를 받는 경우 해당 취약점을 하나의 취약점으로 간주합니다.
3. 여러 참가자가 동일한 취약점을 보고한 경우 회사가 받는 첫 번째 보고서에 대해서만 포상이 지급됩니다.
4. 회사는 보고받은 취약점이 포상 지급 대상이 된다고 결정한 경우 참가자가 제보시 작성한 메일주소를 통해 회사로부터 포상 방법에 따른 수신 정보를 요구하며, 참가자는 이에 정확한 정보를 회신하여야 합니다. 참가자가 회사의 요청일로부터 30일 이내에 정보를 제공하지 않은 경우 포상을 받을 권리를 포기한 것으로 간주합니다.
5. 제 4항에 따라 참가자로부터 수령한 정보를 바탕으로 적절하게 포상 전달 절차를 수행 했음에도 불구하고 참가자가 전부 또는 일부의 포상을 수령하지 못한 경우(정보의 오류 등을 포함함)에는 회사의 포상 지급 의무는 소멸하는 것으로 합니다.
6. 참가자가 본 약관을 위반한 경우 회사는 해당 참가자에게 포상 지급을 거부하거나 지급된 포상의 반환을 요구할 수 있습니다.

제 7 조 (금지 사항)

1. 참가자는 다음의 행위를 해서는 안됩니다.
   • 타인의 권리를 침해하는 행위, 기타 법령에 위반하는 행위
   • 자동화된 프로그램으로 서비스를 스캐닝하는 행위
   • 서비스에 부하를 주는 DoS(Denial of Service) 공격
   • 회사의 자산 또는 데이터 센터에 대한 물리적 공격
   • 발견한 취약점을 이용하여 이용자의 데이터를 열람, 삭제, 수정, 공개하는 행위
   • 발견한 취약점을 이용하여 소스 코드 등을 열람, 삭제, 수정, 공개하는 행위
   • 그 외 본 프로그램의 목적 및 취지에 반하는 행위
2. 회사는 전항을 위반한 참가자에 대하여 본 프로그램 참여 자격을 박탈할 수 있습니다.

제 8 조 (권리)

1. 참가자가 취약점 검증과 수정 방안을 검토함에 있어 발명, 고안, 의장의 창작, 저작 등(이하 "발명")을 한 경우, 발명 등에 대한 저작권을 포함한 모든 권리는 참가자가 제보 사이트를 통해 회사에 해당 취약점을 제출함과 동시에 회사에 이전되고, 회사는 해당 권리를 자유롭게 행사 및 처분할 수 있습니다.
2. 1항에 따라 회사가 제출물과 유사하거나 동일한 자료를 개발할 수 있음을 이해하고 인정하며, 참가자의 제출물과의 유사성으로 인해 발생할 수 있는 모든 청구를 포기합니다.

제 9 조 (기밀 정보 취급)

참가자는 취약점과 취약점을 통해 알게 된 정보(공격방법에 대한 세부정보 등)를 기밀 정보로 취급해야 하며, 회사의 명확한 서면 동의가 없는 경우 제 3자에게 공개, 유출 및 공표할 수 없습니다. 만약 참가자가 공개를 원한다면 회사가 내용을 검토하고 공개 여부를 결정합니다.

제 10 조 (개인 정보의 취급)

1. 회사는 개인정보보호법 등 관계 법령이 정하는 바에 따라 개인 정보를 보호하기 위해 노력합니다.
2. 회사는 본 프로그램에서 참가자가 제공한 개인 정보 [이메일, 이름, 소속] 를 본 프로그램의 원활한 이용 및 기타 필요한 사무 처리를 위해 이용합니다.
3. 회사는 참가자로부터 받은 개인 정보를 참가자가 최종 제보한 날부터 3년간 보존 혹은 관련 법령에 따른 보유기간 동안 보유합니다.

제 11 조 (면책)

1. 참가자는 자신의 책임하에 본 프로그램에 참여하며, 회사는 자신에게 귀책사유가 있는 경우를 제외하고는 본 프로그램 참여로 인해 참가자가 입은 손해에 대해서 일체의 책임을 지지 않습니다.
2. 회사는 본 프로그램에 관련된 참가자간 또는 참가자와 제 3자간의 분쟁에 일절 관여하지 않고, 참가자는 자신의 책임과 비용으로 당해 분쟁을 해결하는 것으로 합니다.

제 12 조 (약관의 변경)

1. 회사는 관련 법령을 위배하지 않는 범위에서 본 약관의 내용을 개정 할 수 있습니다.
2. 회사가 본 약관을 개정할 경우에는 적용일자를 명시하여 사전에 공지합니다.
3. 회사가 전항에 따라 개정약관을 공지하였음에도 참가자가 기간 내에 명시적으로 거부의 의사표시를 하지 아니한 경우 참가자가 개정약관에 동의한 것으로 봅니다.
4. 개정약관을 공지하고 적용일자 이후에 버그바운티 보고서를 접수한 경우 참가자가 개정약관에 동의한 것으로 봅니다.
5. 참가자가 개정약관의 적용에 동의하지 않는 경우 참가자는 본 프로그램을 이용할 수 없습니다.

제 13 조 (준거법 및 재판관할)

1. 회사와 참가자간 제기된 소송은 대한민국법을 준거법으로 합니다.
2. 회사와 참가자간 발생한 분쟁에 관한 소송의 관할법원은 민사소송법에 따라 정합니다.
3. 해외에 주소나 거소가 있는 참가자의 경우 회사와 참가자 간 발생한 분쟁에 관한 소송은 전항에도 불구하고 대한민국 서울중앙지방법원을 관할법원으로 합니다.

제 14 조 (본 프로그램에 관한 문의)

본 프로그램에 관한 모든 문의는sec@chequer.io 으로 받고 있으며, 그 이외의 방법에 의한 문의는 받지 않습니다.

약관 제정일: 2022-07-29

약관 개정일: 2022-10-04