隐私漏洞奖励评分规则v1.0

发布日期:2022-09-08

分享

一、基本原则
1.微众银行非常重视自身产品和业务的安全相关问题,我们承诺,对每一位报告者反馈的问题,都有专人进行跟进、分析和处理,并及时给予答复。对于帮助微众银行提升隐私安全的白帽子,我们会给予感谢和回馈。
2.微众银行反对和谴责一切利用漏洞损害微众银行或用户利益的行为,未经允许请勿在任何公众场合或平台讨论或披露隐私漏洞的细节,不得向任何第三方透露隐私漏洞。如有上述行为,微众银行保留追究其法律责任的权利。

二、收取范围
APP:微众银行APP、微众企业爱普(收取版本为IOS、Android应用商店最新版本)。
小程序(核心):微众银行小程序、微粒贷借钱小程序、微众银行微业贷小程序、微众银行汽车金融小程序、微众银行We2000小程序、小鹅花钱小程序。
小程序(非核心):除核心小程序类外的其他属于微众银行面向用户的小程序。
*小程序类隐私漏洞将根据用户数据量、是否有金融交易进行机动评级,例如平台用户少于百人,平台数据实时性低于 1 天,客户端产品较长时间未更新等。
(列表会持续更新)

三、隐私漏洞奖励规则
针对隐私漏洞提交及确认有效的贡献者,微众银行SRC将给予基础奖励。 不同的隐私漏洞,根据漏洞等级不同、业务范围不同,安全币发放不同。
漏洞对应安全币表如下(单位/安全币):
严重 高危 中危 低危
APP 1000-2000 200-400 80-120 10-20
小程序-核心 500-1000 100-200 40-80 1-20
小程序-非核心 160-180 60-100 20-40 1-10

1个安全币价值人民币5元,所以对应的现金奖励范围如下(单位/元):
严重 高危 中危 低危
APP 5000-10000 1000-2000 400-600 50-100
小程序-核心 2500-5000 500-1000 200-400 5-100
小程序-非核心 800-900 300-500 100-200 5-50

四、隐私漏洞评分标准
根据隐私漏洞影响程度、发现的难易程度等维度,将隐私漏洞分为严重漏洞、高危漏洞、中危漏洞及低危漏洞。
级别 判定标准
严重 1.核心业务影响巨大,与所在市场国家地区相关法律法规严重冲突;
2.利用方式新颖、有技术深度,或针对通用隐私问题可以提供检脚本;
3.对应问题严重且行业内罕见。
高危 1.漏洞影响重大,与相关法律法规存在冲突,未及时修复能够导致公司的经营或声誉等受到严重损害;
中危 1.漏洞影响较大,与相关法律法规存在冲突,未及时修复可能导致用户投诉、监管机构通报等影响;
2.一般情况下,该类问题属于监管机构已经明确的检查项目,只需要一般的技术手段就可以发现。
低危 1.漏洞影响较小,未及时修复可能产生的影响存在争议或不明确;
2.一般情况下,该类问题不需要技术手段就可以发现。
参考法律法规
1.工业化和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
2.《常见类型移动互联网应用程序必要个人信息范围规定》
3.四部委《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
4.《中华人民共和国个人信息保护法》
5.《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)
6.《个人金融信息保护技术规范》(JR/T 0171—2020)
7.《个人信息安全规范》GB/T 35273-2020

五、评分通用原则
1.漏洞提交地址:https://security.webank.com/,并在题目中标注【隐私专项】;
2.为方便快速审核,提交漏洞请务必附带以下信息:产品名称、测试机型、APP系统版本、风险等级、风险问题点、依据法律法规、整改建议等信息。建议可直接提交附件;
3.违规行为一经溯源发现,取消全部奖励。提前对外公布细节、虚假漏洞、已知重复漏洞等行为不予奖励;
4.隐私漏洞不计入团队季度奖励。

最终解释权归微众银行安全应急响应中心所有
2022年8月