Melindungi seluruh informasi dan keamanan data pengguna selalu menjadi prioritas utama MIFX. Kini, kami menyambut kontribusi dari Security Researchers eksternal dan akan memberikan reward atas kontribusinya dalam meningkatkan sistem keamanan kami.

Dalam mengidentifikasi kerentanan sistem keamanan MIFX, Anda perlu mematuhi beberapa prosedur berikut dalam melakukan laporan:

1. Dengan berpartisipasi dalam program ini, berarti Anda setuju untuk mematuhi seluruh ketentuan hukum Indonesia dan hukum internasional yang berlaku.
2. Peserta Program Bug Bounty tidak boleh berstatus karyawan MIFX atau bagian dari keluarga, kontraktor MIFX, dan afiliasi lainnya. Security researchers harus merupakan pihak yang independen.
3. Anda dilarang membuat post, mengirimkan, upload di sosial media apa pun atau membagikan informasi rahasia selain ke disclosure@mifx.com.
4. Pastikan Anda memberikan detail atau cukup bukti yang dapat kami verifikasi (Contohnya: Screenshot/video/script). Jika tim kami tidak dapat menemukan masalah atau melakukan verifikasi masalah yang Anda laporkan, maka Anda tidak dapat melakukan klaim reward.
5. Anda perlu memberikan waktu agar kami dapat melakukan investigasi dan menyelesaikan isu yang Anda laporkan sebelum menyebarkan informasi laporan Anda ke publik atau membagi informasi tersebut kepada pihak lain.
6. Anda dilarang melakukan interaksi dengan akun milik individu (Termasuk mengubah atau mengakses data dari akun tersebut) jika pemilik akun tidak memberikan persetujuan atas tindakan tersebut.
7. Anda diharapkan dengan beritikad baik dapat menghindari pelanggaran privasi dan gangguan lainnya, termasuk (tetapi tidak terbatas) akses tidak sah atau penghancuran data, dan gangguan atau degradasi layanan kami.
8. Seluruh tindakan penyelidikan Anda harus dengan itikad baik dan menghindari gangguan atau memberikan dampak seminimal mungkin untuk MIFX dan pengguna MIFX lainnya.
9. Anda dilarang melakukan eksploitasi terhadap isu keamanan yang Anda temukan untuk alasan apa pun. (Termasuk mendemonstrasikan risiko tambahan, seperti percobaan peretasan data perusahaan yang sensitif atau memicu masalah tambahan.)
10. Anda dilarang secara sengaja melanggar hukum atau ketentuan/ regulasi yang berlaku, termasuk (tetapi tidak terbatas) hukum dan regulasi yang melarang akses data secara tidak sah atau penerbitan data apa pun yang Anda temukan dan hal tersebut milik MIFX.
11. Sesuai dengan tujuan program ini, Anda dilarang mengakses data pengguna atau data perusahaan, termasuk (tetapi tidak terbatas) informasi yang dapat diidentifikasi secara pribadi dan data yang berhubungan dengan orang umum baik yang dapat teridentifikasi ataupun diidentifikasi, kecuali hal tersebut merupakan bagian dari validasi kerentanan sistem.
12. Sesuai dengan tujuan program ini, Anda dilarang mengakses data pengguna atau data perusahaan, termasuk (tetapi tidak terbatas) informasi yang dapat diidentifikasi secara pribadi dan data yang berhubungan dengan orang umum baik yang dapat teridentifikasi ataupun diidentifikasi, kecuali hal tersebut merupakan bagian dari validasi kerentanan sistem.
13. Laporan yang kami anggap ‘kritikal’ tidak diizinkan untuk dipublikasikan oleh security researchers.
14. Jika Anda ingin mempublikasikan laporan Anda ke publik, harap mengirimkan permohonan ke disclosure@mifx.com dan mendapatkan izin tertulis dari MIFX, selanjutnya menunggu selambat-lambatnya 6 (enam) bulan setelah masalah keamanan sudah diperbaiki.
15. Jika Anda mempublikasikan laporan tanpa izin dari MIFX (Untuk alasan apa pun: edukasi, popularitas, dan lainnya), MIFX berhak secara hukum untuk mengajukan gugatan atau tindakan hukum lainnya yang dianggap penting.

Security Researchers yang mematuhi Responsible Disclosure Policy ini, berarti memenuhi syarat untuk dimasukkan dalam MIFX Security Hall of Fame. Keputusan mengenai layak tidaknya masuk ke dalam Hall of Fame ini sepenuhnya adalah keputusan MIFX.

1. Anda perlu membaca dan menyetujui Syarat dan Ketentuan di MIFX Bug Bounty sebelum mengirimkan laporan apa pun.
2. Anda dilarang untuk mengumpulkan laporan melalui kontak langsung dengan karyawan MIFX atau dari channel lainnya. Pengumpulan laporan hanya dianggap valid jika dikirimkan melalui email ke disclosure@mifx.com.
3. Anda wajib mematuhi Responsible Disclosure Policy (Lihat di atas).
4. Laporan bug keamanan: Identifikasi kelemahan dalam sistem kami atau infrastruktur yang membahayakan untuk keamanan atau privasi. (Harap diingat bahwa MIFX berhak untuk menentukan tingkat risiko masalah atau bug dalam laporan, mengingat tidak semua bug software mempengaruhi keamanan dan memiliki risiko keamanan dan privacy.)
5. Laporan Anda harus menjelaskan sebuah masalah yang melibatkan salah satu produk atau layanan yang tertera di bawah. (Silakan lihat bagian “Dalam Lingkup” dan “Diluar Lingkup”).
6. MIFX secara spesifik tidak menerima beberapa jenis dari masalah keamanan; seluruhnya dapat Anda lihat di bawah (Silakan lihat bagian “Dalam Lingkup” dan “Diluar Lingkup”.)
7. Jika Anda secara tidak sengaja menyebabkan pelanggaran privasi atau gangguan (seperti mengakses data akun, pengaturan servis, atau dokumen rahasia lainnya) ketika melakukan penyelidikan, Anda harus mencantumkan hal tersebut di laporan Anda.
8. Gunakan akun tes ketika Anda menyelidiki sebuah masalah. Jika Anda tidak dapat membuat ulang masalah di akun tes Anda, maka Anda dapat menggunakan akun riil (kecuali untuk tes otomatis). Anda dilarang melakukan interaksi dengan akun lain tanpa persetujuan. Sebagai gantinya, MIFX akan mengikuti panduan ini saat mengevaluasi laporan di dalam program Bug Bounty kami.
9. MIFX akan menyelidiki dan merespon seluruh laporan yang valid. Dikarenakan banyaknya jumlah laporan yang kami terima, kami akan memprioritaskan evaluasi berdasarkan tingkat risiko dan faktor lainnya. MIFX akan memberikan respon untuk laporan yang dikirimkan maksimum 6 (enam) hari kerja.
10. MIFX akan menentukan jumlah reward berdasarkan beberapa faktor, termasuk (tetapi tidak terbatas) dampak masalah, kemudahan eksploitasi dan kualitas laporan.
11. Tujuan kami adalah untuk memberikan reward dengan jumlah yang sama terhadap masalah yang serupa, tetapi jumlah reward dan kualifikasi masalah dapat berubah seiring berjalannya waktu. Jumlah reward yang pernah diberikan kepada Security Researchers lain tidak menjadi garansi Anda juga akan menerima jumlah reward yang sama.
12. Tujuan kami adalah untuk memberikan reward dengan jumlah yang sama terhadap masalah yang serupa, tetapi jumlah reward dan kualifikasi masalah dapat berubah seiring berjalannya waktu. Jumlah reward yang pernah diberikan kepada Security Researchers lain tidak menjadi garansi Anda juga akan menerima jumlah reward yang sama.
13. MIFX berhak untuk mempublikasikan laporan (bersamaan dengan updatesnya).
14. Anda akan diminta untuk melengkapi dokumen perpajakan (Contoh: NPWP untuk Warga Negara Indonesia) yang akan kami beritahukan jika memang dibutuhkan.
15. Anda mungkin perlu memberitahukan IP Publik yang Anda gunakan selama penyelidikan untuk tujuan konformasi.