지니언스㈜ ("회사" 또는 "지니언스")는 지니언스 제품 및 서비스의 취약점 신고에 대한 포상을 지급하는 지니언스 버그바운티 프로그램(이하 "본 프로그램")을 시행합니다. 본 버그바운티 프로그램에 참여하고 포상을 받기 원하는 참가자는 본 약관에 동의해야 하며, 취약점을 신고한 경우 본 약관에 동의한 것으로 간주됩니다.

제 1 조 (소개)

본 프로그램은 지니언스 제품의 취약점을 빠르게 찾아내어 고객사에 안전한 제품 및 서비스를 제공하는 것을 목적으로 하며, 신고된 취약점을 지니언스가 단독 재량으로 결정한 금액(“포상금”)으로 보상을 받을 수 있습니다. 또한 본 약관은 언제든지 변경될 수 있으며, 변경사항이 적용된 후 프로그램에 참여하면 새로운 약관에 동의하는 것입니다.

제 2 조 (참가 자격 및 방법)

1. 다음의 기준을 모두 충족하는 경우 본 프로그램에 참여할 수 있습니다.

• 지니언스의 임직원이 아니어야 하며, 퇴직한 임직원은 퇴직 후 1년이 경과 되었을 시 참여할 수 있습니다.

• 참가자는 한국어 또는 영어로 의사소통이 가능해야 합니다.

2. 본 프로그램 참가에 필요한 제반 경비는 참가자가 부담하며, 본 프로그램 운영과 관련하여 필요한 연락은 참가자의 이메일을 통해 이루어 집니다.

제 3 조 (신고 대상)

1. 본 프로그램의 대상이 되는 제품 및 서비스는 다음과 같습니다. 지니언스의 제품 및 서비스 외의 신고서는 포상 대상이 아닙니다. (23년 9월 1일 수정)

• NAC 제품 : Genian NAC V4.* 이상
• Cloud NAC CSM 서비스 : https://my.demo.genians.co.kr/
• Genian Device Platform Intelligence API : https://pi-api.genians.com/pi/v1/apidocs/  (23년 6월 1일 추가)
• 지니언스 회사 홈페이지 등 (23년 9월 1일 추가)

2. 신고 당시 프로그램이 적용되지 않는 제품 또는 서비스에 대한 취약점을 신고한 경우 나중에 해당 제품 또는 서비스가 프로그램에 추가될 경우에도 포상금을 받을 수 없습니다.

제 4 조 (신고 기간 및 방법)

1. 본 프로그램은 상시로 진행합니다. 단, 지니언스는 필요에 따라 사전 통보 없이 본 프로그램을 종료할 수 있습니다.

2. 전항 단서에 따른 본 프로그램의 종료시점 이전에 참가자가 보고한 취약점이 있을 경우, 회사는 본 프로그램이 종료된 후라 하더라도 이를 검토하고 결과를 통보합니다.

3. 참가자는 지니언스가 안내한 방법으로 취약점을 신고해야 합니다. 그 외의 방법으로 신고된 취약점은 포상급 지급 대상에서 제외됩니다.

제 5 조 (포상금)

1. 지니언스는 신고된 취약점의 심각성에 따라 회사의 재량으로 포상 금액을 결정합니다.

2. 취약점의 파급도 측면에서 보안 취약점 평가 국제 표준(CVSS 3.1)을 기반으로 공격 영향도와 난이도를 고려하여 평가점수를 산정합니다. (23년 9월 1일 수정)

3. 산정된 CVSS점수에 따른 포상 금액 기준은 다음과 같습니다. (23년 9월 1일 수정)

※ 단, 위 표는 취약점 평가점수에 따른 기준금액을 표시한 것으로 기재된 포상 금액이 보장되는 것은 아닙니다.
※ 달러화 지급이 필요한 외국인 신고자의 포상금은 포상금 지급 시 원-달러 환율을 적용하여 지급합니다. (23년 8월1일 추가)

4. 제7조 3항에 따라 포상금 제외 대상이 되더라도 기념품 또는 기프티콘 형태의 선물이 지급될 수 있습니다. (23년 1월 1일 추가)

제 6 조 (제출물 검토 및 포상 절차)

1. 회사는 취약점 신고서가 접수되면 제출물을 검토하고 적격성을 확인하며, 어떤 제출물이 적격한지 결정할 단독 재량권을 가집니다. 검토시간은 제출물의 복잡성과 완성도, 접수된 제출물의 수에 따라 달라집니다.

2. 회사는 동일한 참가자로부터 유사한 취약점에 대한 신고를 받는 경우, 여러건의 취약점 신고서로 접수되었더라도 동일한 취약점으로 판단되는 취약점을 하나의 취약점으로 간주합니다.

3. 다른 참가자로부터 동일한 취약점에 대한 여러 제출물을 수신하는 경우 포상금은 첫번째 적격 제출물에 부여됩니다. 다만 중복 보고서가 이전에 지니언스에 알려지지 않은 새로운 정보를 제공하는 경우 중복보고서를 제출한 신고자에게 포상금을 부여할 수 있습니다.

4. 회사는 참가자가 보고한 취약점의 포상금 지급 대상 여부가 결정된 경우 신고자의 이메일을 통해 참가자에게 그 취지를 통지합니다. 신고한 취약점이 해당 조건에 따라 버그바운티 자격이 있다고 판단되면 포상금액을 알리고 지급을 위해 필요한 서류를 요청합니다.

5. 참가자는 자신의 이메일 계정을 통해 회사로부터 정보를 제공하라는 요청을 받으면 회사가 지정한 포상금 지급에 필요한 유효하고 신뢰할만한 정보(이하 "정보")를 즉시 제공해야 합니다. 참가자가 회사의 요청일로부터 14일 이내에 정보를 제공하지 않은 경우 포상을 받을 권리를 포기한 것으로 간주합니다. 포상을 송금하기 위한 은행 송금 수수료는 회사가 부담합니다.

• 한국의 은행 계좌를 보유한 참가자 : 포상 금액을 원화로 한국의 은행 계좌로 지급합니다.

•  외국의 은행 계좌를 보유한 참가자 : 포상 금액을 달러화로 외국의 은행 계좌로 지급합니다

6. 포상금 수령에 필요한 은행 계좌는 참가자 본인의 것에 한하며, 계좌 명의인의 성명과 전항의 정보에 포함된 성명이 동일해야 합니다.

7. 포상금에 대한 세금은 참여자가 부담하며, 회사는 참여자가 속한 국가의 세금 정책에 따라 금액을 공제한 후 포상금을 지불합니다.

8. 다음의 경우에는 회사의 포상금 지급 의무는 소멸하는 것으로 합니다.

• 회사가 참가자의 이메일 주소로 메시지를 보냈음에도 불구하고 참가자가 14일 이내에 응답을 하지 않은 경우(이메일 주소 입력시 오류가 있었던 경우 등을 포함함)

• 참가자로부터 수령한 정보를 바탕으로 적절하게 송금 절차를 수행 했음에도 불구하고 참가자가 전부 또는 일부의 포상금을 수령하지 못한 경우(정보의 오류, 은행 시스템 장애, 참가자가 경제제재 대상자에 해당하는 경우 등을 포함함)

9. 참가자는 포상금을 수령할 권리를 제 3자에게 양도하거나 담보로 제공해서는 안됩니다.

10. 참가자가 본 약관을 위반한 사실이 밝혀진 경우, 회사는 해당 참가자에게 포상금의 지급을 거부하거나 지급된 포상금의 반환을 요구할 수 있습니다.

11. 취약점으로 확인된 신고서는 해당 취약점이 패치 또는 이행점검이 확인된 월의 익월말에 포상금이 지급 됩니다. 다만, 취약점 패치가 안된 경우에는 신고서 접수 후 60일이 지난 날짜의 익월말에 포상금이 지급됩니다.(23년 9월 1일 추가)

12. 취약점 심각도가 높음(High) 등급 이상의 신고서에 대해서는 회사는 참가자에게 패치확인 이후, 이행점검을 요청할 수 있습니다. 이행점검 요청 후 2주이내 이행점검 결과를 회신하지 않는 참가자에게는 포상금이 지급되지 않을 수 있습니다. (23년 9월 1일 추가)

제 7 조 (금지 사항 및 포상금 제외 조건)

1. 참가자는 버그바운티 프로그램에 참여하는 동안 다음의 행위를 해서는 안됩니다.

• 타인의 권리를 침해하는 행위, 기타 법령에 위반하는 불법적인 행위

• 자동화된 프로그램으로 서비스를 스캐닝하는 행위

• 서비스에 부하를 주는 DoS(Denial of Service) 공격

• 회사의 자산 또는 데이터 센터에 대한 물리적 공격

• 발견한 취약점을 이용하여 이용자의 데이터를 열람, 삭제, 수정, 공개하는 행위

• 발견한 취약점을 이용하여 소스 코드 등을 열람, 삭제, 수정, 공개하는 행위

• 그 외 본 프로그램의 목적 및 취지에 반하는 행위

2. 회사는 전항을 위반한 참가자에 대하여 본 프로그램 참여 자격을 박탈할 수 있으며, 포상금 대상에서 제외됩니다.

3. 다음의 경우는 평가대상 및 포상대상에서 제외됩니다.

• 취약점 신고서를 받았을 시점에서 취약점이 재현되지 않는 경우

• 취약점 신고서를 받았을 시점에서 취약점이 재현되더라도 지니언스 내부에서 취약점에 대한 인지를 하고 있을 경우 (예를들면, 알고는 있지만 미처 수정되지 못한 경우, 이 경우는 신고자가 요청하는 경우 내부에서 발견된 경위, 시점 등에 대해서 충분한 설명을 합니다.)
  
  
• 다양한 방법으로 에이전트(중지, 종료, 삭제 등)를 무력화하는 취약점 (23년 9월 1일 수정)

• 제품 동작에 필요한 필수 요소(OS, 프레임워크 등)의 보안 업데이트를 수행할 때 취약점이 발현되지 않거나 이를 변경 해야만 발생하는 취약점

• 취약점 증명 이외에 불필요한 행위를 통해 서버의 정보를 획득한 경우

• 다른 신고자가 먼저 제보한 취약점, 이미 다른 곳에 제보한 취약점 (KISA 등), 이미 공개적으로 알려진 취약점

• 단종 제품 등 보안 업데이트 개발이 불가능한 제품인 경우

• 신고된 정보가 허위 또는 과장되거나 불분명하여 취약점을 파악할 수 없는 경우, 증명없이 가능성만을 제시된 완벽하지 않은 취약점인 경우

• 신고서의 동의 관련 내용을 임의로 변조하여 신고한 경우

• 신고 취약점 정보에 대한 신고자 저작권 행사 등을 명시한 경우

• ECU와 CAN-BIS에 Flooding을 통한 Denial-of-Service(Dos) 취약점

• 너무 많은 사용자의 개입 또는 사용자의 극단적인 개입(레지스트리 수정 등)이 있어야 악용될 수 있는 취약점

• 보안 기능을 끄고 취약점을 발생시킨 경우
  
  
• 취약점으로 인해 발생할 수 있는 피해가 매우 미미하거나, 공격자 측면에서 신고된 취약점을 굳이 악용에 사용할 필요가 없을 정도로 파급도가 매우 낮은 취약점의 경우
  
  
• 약관에 명시된 기술적 취약점 외에 프라이버시 보호에 관련된 내용 (23년 1월 1일 추가)
  
  
• 본인에게만 영향이 미치는 취약점 (Self XSS, 직접 패킷을 변조해서 자신에게만 공격이 가능한 경우) (23년 1월 1일 추가)
  
  
• 다음의 경우에 해당되는 경우
  관리자 페이지 노출, 디버깅 응답값 노출, Clickjacking, 에러페이지를 이용한 페이지 변조, 서버의 어플리케이션 정보 노출, Security/CSP 헤더 관련, SSL 미적용으로 인한 쿠키탈취 (23년 1월 1일 추가)
  
  
• 의도적으로 스크립트 테스트 기능이 포함된 웹페이지에서의 모든 스크립팅 공격 (23년 4월 6일 추가)
  
  
• 그외 보안상 위협이 적거나 없다고 판단되는 취약점 (23년 1월 1일 수정)

제 8 조 (권리 및 제출물 라이센스)

1. 참가자는 본 프로그램 참여에 필요한 범위 내에서, 제 3조의 신고 대상에 대한 수정·가공·복제 권한을 가집니다.

2. 참가자가 취약점 검증과 수정 방안을 검토함에 있어 발명, 고안, 의장의 창작, 저작 등(이하 "발명")을 한 경우, 발명 등에 대한 저작권을 포함한 모든 권리는 참가자가 이메일을 통해 회사에 해당 취약점을 제출함과 동시에 회사에 이전되고, 회사는 해당 권리를 자유롭게 행사 및 처분할 수 있습니다.

3. 지니언스가 참가자의 제출물과 유사하거나 동일한 자료를 개발할 수 있음을 이해하고 인정하며, 참가자의 제출물과의 유사성으로 인해 발생할 수 있는 모든 청구를 포기합니다.

4. 참가자의 제출물이 자신의 작업이고, 다른 사람이나 단체가 소유한 정보를 사용하지 않았으며, 지니언스에 제출물을 제공할 법적 권리가 있음을 보증합니다.

5. 발명 등이 저작물인 경우, 참가자는 당해 저작물에 관한 저작권을 회사 및 회사가 지정한 자에 대하여 주장하거나 행사하지 않아야 합니다.

제 9 조 (접수 제출물의 기밀 정보 취급)

1. 참가자는 취약점과 취약점을 통해 알게 된 정보(공격방법에 대한 세부정보 등)를 기밀 정보로 취급해야 하며, 신고 후에도 그 어떠한 목적으로도 당사를 제외한 제 3자에게 공개할 수 없습니다.

2. 신고서에 작성한 내용이 사실과 다르게 작성되거나, 당사를 제외한 제3자에게 취약점을 공개한(외부 컨퍼런스 발표 등) 경우, 비밀 유지 의무 등을 위반한 사실이 밝혀진 경우 다음과 같은 불이익을 당할 수 있습니다.

• 밝혀진 날로부터 1년동안 평가 및 포상 대상에서 제외

• 해당 취약점으로 이미 포상 받은 경우 포상 취소 및 지급 포상금 전액 환수 및 법적 대응

제 10 조 (개인 정보의 취급)

1. 회사는 개인정보보호법 등 관계 법령이 정하는 바에 따라 참가자의 개인 정보를 보호하기 위해 노력합니다.

2. 회사는 본 프로그램에서 참가자가 제공한 개인 정보[성명, 영문명, 이메일, 연락처, 소속, 주소, 송금시 필요한 정보(계좌번호, 주민번호)]를 본 프로그램의 원활한 이용 및 기타 필요한 사무 처리를 위해 이용합니다.

3. 회사는 참가자로부터 받은 개인 정보를 참가자가 마지막으로 신고한 취약점에 대한 포상을 결정하고 포상금을 지급한 날부터 3년 또는 소득세법 등 관련법령에 따른 보유기간 동안 보유합니다.

제 11 조 (면책)

1. 참가자는 자신의 책임하에 본 프로그램에 참여하며, 회사는 자신에게 귀책사유가 있는 경우를 제외하고는 본 프로그램 참여로 인해 참가자가 입은 손해에 대해서 일체의 책임을 지지 않습니다.

2. 회사는 본 프로그램에 관련된 참가자간 또는 참가자와 제 3자간의 분쟁에 일절 관여하지 않고, 참가자는 자신의 책임과 비용으로 당해 분쟁을 해결하는 것으로 합니다.

제 12 조 (약관의 변경)

1. 회사는 관련 법령을 위배하지 않는 범위에서 본 약관의 내용을 변경 할 수 있습니다.

2. 회사가 본 약관을 변경할 경우에는 적용일자를 명시하여 적용일자 최소 1주일전 홈페이지에 공지합니다.

3. 회사가 전항에 따라 개정약관을 공지하고 적용일자 이후에 취약점 신고서를 접수한 경우 참가자가 개정약관에 동의한 것으로 봅니다.

제 13 조 (준거법 및 재판관할)

1. 회사는 분쟁이 발생하지 않기를 바랍니다. 다만 분쟁이 발생하면 참가자와 회사는 60일 동안 비공식적으로 해결하기로 동의합니다.

2. 회사와 참가자간 제기된 소송은 대한민국법을 준거법으로 하며, 회사와 참가자간 발생한 분쟁에 관한 소송의 관할법원은 민사소송법에 따라 정합니다.

3. 해외에 주소나 거소가 있는 참가자의 경우 회사와 참가자 간 발생한 분쟁에 관한 소송은 전항에도 불구하고 대한민국 서울중앙지방법원을 관할법원으로 합니다.

제 14 조 (본 프로그램에 관한 문의)

지니언스 버그바운티 프로그램에 관한 모든 문의는 bugbounty@genians.com 으로 받고 있으며, 그 이외의 방법에 의한 문의는 받지 않습니다.

이용약관 개정 및 적용일 : 2023-09-01