Die Sicherheit der Nutzerdaten hat für Tilda höchste Priorität. Sollten Sie eine potenzielle Sicherheitslücke entdecken, melden Sie diese bitte an uns. Wir verbessern unsere Schutztechnologien kontinuierlich und sind offen für eine Zusammenarbeit.
Diese Bedingungen regeln die Teilnahme am Tilda Bug-Bounty-Programm. Bitte lesen Sie dieses Dokument sorgfältig durch, bevor Sie mit der Untersuchung beginnen. Wenn Sie mit den Bedingungen nicht einverstanden sind, nehmen Sie bitte nicht am Programm teil und reichen Sie keine Berichte über Sicherheitslücken ein.

Das Dokument besteht aus den folgenden Abschnitten:
Definitionen
Annahme der Bedingungen und Vertragsabschluss
Allgemeine Bestimmungen
Prüfung des Berichts und Zahlungsablauf
Vertraulichkeit
Rechte an geistigem Eigentum
Haftung und Entschädigung für Verluste
Personenbezogene Daten
Sonstiges
Kontakte

Wenn Sie Fragen zu den Bedingungen des Programms haben, kontaktieren Sie uns bitte unterbugbounty@tilda.cc.

Bedingungen – dieses Dokument ist unter der Adresse https://tilda.cc/lp/bugbounty/terms/ verfügbar.
Plattform – eine im Internet unter der Adresse https://tilda.cc/ verfügbare Software-Suite, einschließlich Datenbanken und Computerprogrammen, einzelnen Modulen, Diensten, Microservices und APIs.
Kunde – Tilda Platform Cloud Services Co. LLC, Lizenz 1110180, die die Plattform verwaltet.
Forscher – eine geschäftsfähige natürliche Person im Alter von mindestens 18 Jahren, die über ein Bankkonto in VAE-Dirham, US-Dollar oder Euro verfügt und die Arbeit ausführt. Forscher dürfen keine ehemaligen oder aktuellen Mitarbeiter, Auftragnehmer oder Auftragnehmer des Kunden oder seiner verbundenen Unternehmen sein.
Sicherheitslücke – ein technischer Fehler im Betrieb der Plattform, der zu einer Verletzung der Vertraulichkeit führen kann, einschließlich unbefugtem Zugriff auf Daten, Kompromittierung von Konten, Umgehung von Autorisierungs-/Datenisolationsmechanismen oder anderen erheblichen negativen finanziellen, rechtlichen oder rufschädigenden Folgen für den Kunden, seine verbundenen Unternehmen und/oder die Nutzer der Plattform. 
Bericht – eine strukturierte Beschreibung der identifizierten Schwachstelle, die Informationen enthält, die für deren Analyse, Reproduktion und gegebenenfalls Behebung erforderlich sind.
Leistung – für den Kunden durchgeführte Aktivitäten zur Suche und Erkennung von Schwachstellen.
Fehlt eine Definition eines Begriffs im Text der Bedingungen, richtet sich die Auslegung des Begriffs in erster Linie nach geltendem Recht und in zweiter Linie nach der im Internet etablierten und allgemein gebräuchlichen Bedeutung.

Die Bedingungen stellen ein offizielles Angebot des Auftraggebers an alle interessierten Personen dar, mit einem potenziellen Forscher einen Vertrag abzuschließen.
Mit der Aufnahme der Arbeit gilt die Annahme der Bedingungen durch den Forscher als erfolgt, wodurch ein rechtsverbindlicher Vertrag zustande kommt. Die Annahme der Bedingungen ist nur in vollem Umfang zulässig; eine Annahme der Bedingungen mit Ausnahmen und/oder nur teilweise ist nicht zulässig.

1.1. Leistungsumfang. Der Forscher führt die Arbeit durch, und der Kunde prüft die Ergebnisse der abgeschlossenen Arbeit in Form von Berichten und trifft gegebenenfalls eine Entscheidung über die Zahlung der Vergütung.
Der Kunde erteilt dem Forscher keine konkreten Aufgaben; die Arbeit wird ausschließlich auf Initiative des Forschers durchgeführt. Die Arbeit kann ab dem Datum der Annahme der Bedingungen bis zur Annahme des Berichts durch den Kunden durchgeführt werden.
Die Arbeit darf nur in Bezug auf die Plattform und deren in den Bedingungen ausdrücklich genannte Komponenten erbracht werden. Die Suche nach technischen Mängeln in anderen Kundensystemen, in Nutzerprojekten, die mittels der Funktionalität der Plattform erstellt wurden, sowie in Diensten Dritter, einschließlich Analysediensten, Datenempfangsdiensten, Zahlungssystemen, E-Mail-Diensten, Diensten zum Kauf von Domainnamen und Bilddatenbanken (mit Ausnahme von technischen Mängeln in Diensten Dritter, die technische Mängel der Integration / API auf Kundenseite darstellen, z. B. fehlerhafte Datenübertragung, Verlust sensibler Daten oder Fehler in der Integrationslogik) liegt außerhalb des Geltungsbereichs dieser Bedingungen.

1.2. Einreichung des Berichts. Nach Abschluss der Arbeiten sendet der Forscher den Bericht an den Kunden an die E-Mail-Adresse bugbounty@tilda.cc. Berichte, die über andere Kommunikationskanäle übermittelt werden, werden vom Kunden nicht angenommen oder berücksichtigt.
Der Bericht sollte eine detaillierte Beschreibung der Schwachstelle enthalten, einschließlich des spezifischen Moduls, Dienstes, Microservices und/oder der API, in dem bzw. der sie identifiziert wurde, der Art der Schwachstelle, der Schritte zu ihrer Reproduktion und optional Empfehlungen zur Behebung. Falls erforderlich, ist der Bericht durch Videos, Screenshots, Diagramme und/oder Grafiken zu ergänzen.
Entdeckt der Forscher während der Durchführung der Arbeit mehrere Schwachstellen, hat er für jede der Schwachstellen einen separaten Bericht vorzulegen.

1.3. Verbote und Einschränkungen. Bei der Durchführung der Arbeiten ist es dem Forscher untersagt:
1) Handlungen vorzunehmen, die zu einer Störung der Funktionalität der Plattform führen oder die Nutzer der Plattform und andere Dritte beeinträchtigen könnten, einschließlich DDoS-Angriffen, Stresstests und dem Einschleusen von Schadcode;
2) destruktive Methoden zur Aufdeckung von Schwachstellen anzuwenden, insbesondere durch physischen Zugang zu Büros, Rechenzentren oder Social Engineering, einschließlich Phishing-Angriffen und Spam-Mailings;
3) die identifizierten Schwachstellen für Zwecke zu nutzen, die nicht im Zusammenhang mit ihrer Offenlegung in gutem Glauben gegenüber dem Kunden stehen;
4) auf Daten von Nutzern der Plattform und anderen Dritten zuzugreifen, die über das hinausgehen, was objektiv notwendig ist, um die Schwachstelle zu bestätigen und/oder den Bericht zu erstellen;
5) sich unbefugten Zugriff auf Benutzerkonten auf der Plattform zu verschaffen;
6) rechtswidrige und/oder betrügerische Handlungen vorzunehmen, die darauf abzielen, durch Täuschung, Fälschung, Missbrauch und/oder Umgehung der Bedingungen Belohnungen zu erlangen.
Der Kunde ist berechtigt, nach eigenem Ermessen einseitig die Prüfung des Berichts und/oder die Zahlung der Vergütung an den Forscher zu verweigern, wenn der Forscher gegen die Bestimmungen dieser Klausel verstößt und wenn seine Handlungen negative Folgen für den Kunden verursacht haben oder verursachen könnten.
Bei Zweifeln hinsichtlich der Zulässigkeit bestimmter Handlungen während der Ausführung der Arbeit muss der Forscher den Kunden unter der E-Mail-Adresse bugbounty@tilda.cc kontaktieren.

1.4. Verzicht auf Ansprüche. Sofern der Forscher die Bedingungen einhält, einschließlich der Einhaltung festgelegter Verbote und Einschränkungen, verpflichtet sich der Kunde:
1) die Arbeit und die Handlungen des Forschers als zulässig anzusehen;
2) keine Strafverfolgungsbehörden zu kontaktieren und keine zivilrechtlichen Ansprüche gegen den Forscher im Zusammenhang mit der Ausführung der Arbeit geltend zu machen.

2.1. Prüfung des Berichts. Nach Erhalt des Berichts hat der Kunde diesen innerhalb von 30 Tagen zu prüfen und zu entscheiden, ob Gründe für die Abnahme der Arbeit und die Bezahlung des Forschers vorliegen. 
Die Arbeit gilt als unvollständig, und die Verpflichtung des Kunden zur Zahlung der Vergütung entsteht nicht, wenn:
1) der festgestellte technische Mangel im Sinne der Bedingungen nicht als Schwachstelle anerkannt wird, beispielsweise wenn es sich um einen Tippfehler, einen visuellen Fehler oder einen Fehler handelt, der nicht mit der Informationssicherheit zusammenhängt und/oder nicht zu einer Verletzung der Vertraulichkeit führt;
2) die Schwachstelle dem Kunden zum Zeitpunkt des Erhalts des Berichts bereits bekannt war, einschließlich des Falls, dass Informationen über die Schwachstelle zuvor von einem anderen Forscher gemeldet wurden;
3) die Schwachstelle infolge von Handlungen des Forschers identifiziert wurde, die unter Verstoß gegen die Bedingungen der Nutzungsbedingungen durchgeführt wurden;
4) der Bericht keine ausreichenden Informationen enthält, um das Vorliegen der Schwachstelle zu überprüfen und/oder zu bestätigen;
5) die Schwachstelle kann vom Kunden nicht reproduziert werden.
Der Forscher versteht und erkennt an, dass der Kunde das Recht hat, nach eigenem Ermessen die Annahme der Arbeit und die Zahlung der Vergütung in anderen als den in den Bedingungen vorgesehenen Fällen abzulehnen.  
Bei der Entscheidung über die Zahlung der Vergütung sendet der Kunde eine Benachrichtigung an die E-Mail-Adresse des Forschers, die bei der Einreichung des Berichts verwendet wurde. Falls der Forscher keine Benachrichtigung vom Kunden erhalten hat oder eine E-Mail erhalten hat, in der die Zahlung der Belohnung abgelehnt wird, gilt die Arbeit als unvollständig.

2.2. Höhe der Vergütung und Übermittlung der Mitteilung. Die mögliche Höhe der Vergütung für den Forscher liegt zwischen 25 USD und 3.000 USD. Die endgültige Höhe der Vergütung für den Forscher wird vom Kunden eigenständig festgelegt und hängt von der Schwere der Sicherheitslücke, der Leichtigkeit ihrer Reproduzierbarkeit sowie den potenziellen Auswirkungen auf den Kunden, verbundene Unternehmen und/oder Plattformnutzer ab. 
Der endgültige Vergütungsbetrag wird vom Kunden in der Benachrichtigung angegeben und umfasst alle Kosten des Forschers, einschließlich anfallender Steuern und Gebühren.
Der Kunde garantiert nicht, dass die Vergütung den subjektiven Erwartungen des Forschers entspricht. Der Vergütungsbetrag gilt ab dem Datum, an dem der Forscher die Benachrichtigung vom Kunden erhält, als vereinbart, ist endgültig und kann nicht revidiert und/oder gerichtlich angefochten werden.

2.3. Zahlungsabwicklung. Innerhalb von 10 Tagen nach Versand der Benachrichtigung hat der Forscher dem Kunden alle erforderlichen Unterlagen und Informationen zur Verfügung zu stellen, einschließlich Zahlungsdaten, Identitätsnachweise und Unterlagen zum steuerlichen Status.
Zur Festlegung der Höhe der Vergütung und zur Abrechnung von Ausgaben kann der Kunde vom Forscher zudem verlangen, eine Rechnung oder Vereinbarung zu unterzeichnen, in der bestimmte Bestimmungen der Geschäftsbedingungen wiedergegeben werden. 

Die Vergütung wird nach Wahl des Forschers in VAE-Dirham, US-Dollar oder Euro gemäß dem am Zahlungstag auf oanda.com angegebenen Wechselkurs innerhalb von 30 Tagen nach Erhalt der erforderlichen Daten und/oder Unterzeichnung der Dokumente per Banküberweisung auf das Konto des Forschers gezahlt. 
Im Falle der Nichtbereitstellung von Daten und/oder der Weigerung, Dokumente zu unterzeichnen, kann die Zahlung der Vergütung vom Kunden bis zu deren Erhalt oder Unterzeichnung aufgeschoben werden. Falls die erforderlichen Dokumente nicht innerhalb von 30 Tagen nach Versand der Benachrichtigung bereitgestellt oder unterzeichnet werden, ist der Kunde berechtigt, die Zusammenarbeit mit dem Forscher auszusetzen und die Zahlung der Vergütung zu verweigern.

2.4. Steuerliche Verpflichtungen. Der Forscher hat alle nach geltendem Recht vorgeschriebenen Steuern und Abgaben, einschließlich der Einkommensteuer, selbstständig zu entrichten.
Falls der Forscher davon ausgeht, dass im Zusammenhang mit den erhaltenen Zahlungen Mehrwertsteuerpflichten entstehen könnten, empfiehlt der Auftraggeber, einen Steuerberater oder Wirtschaftsprüfer zu konsultieren.

3.1. Vertrauliche Informationen. Technische Informationen über die Plattform, Einzelheiten zu Sicherheitslücken, die Höhe der Prämie für den Forscher sowie alle sonstigen Informationen, die während und/oder infolge der Arbeit erlangt werden, einschließlich personenbezogener Daten, sind vom Forscher vertraulich zu behandeln (im Folgenden als „vertrauliche Informationen“ bezeichnet).

3.2. Pflichten des Forschers. Der Forscher ist verpflichtet:
1) die vertraulichen Informationen ausschließlich zum Zweck der Ausführung der Arbeit zu verwenden;
2) die vertraulichen Informationen nicht an Dritte weiterzugeben oder zu übertragen, einschließlich der Veröffentlichung in den Medien und/oder im Internet;
3) keine Handlungen oder Unterlassungen vornehmen, die zur Offenlegung oder Weitergabe der vertraulichen Informationen an Dritte führen könnten;
4) die vertraulichen Informationen in keiner Form und mit keinen Mitteln auf andere Computer, USB-Sticks oder andere Medien kopieren;
5) alle erforderlichen Maßnahmen zum Schutz der vertraulichen Informationen ergreifen;
6) den Kunden schriftlich über alle dem Forscher bekannt gewordenen Tatsachen bezüglich Missbrauchs oder unrechtmäßiger Aneignung der vertraulichen Informationen informieren.
Die in dieser Klausel vorgesehenen Verpflichtungen bleiben für die Dauer des Vertrags und für 15 Jahre nach Beendigung des Vertrags in Kraft, unabhängig vom Grund der Beendigung.

3.3. Unterzeichnung einer gesonderten Vereinbarung. Auf Wunsch des Kunden verpflichtet sich der Forscher, vor Beginn der Arbeit und/oder zu jedem Zeitpunkt während deren Ausführung eine gesonderte Vertraulichkeitsvereinbarung in der vom Kunden bereitgestellten Form zu unterzeichnen.
Für den Fall, dass der Forscher sich weigert, eine gesonderte Vereinbarung zu unterzeichnen, ist der Kunde berechtigt, die Zusammenarbeit mit dem Forscher auszusetzen, eingereichte Berichte nicht zu berücksichtigen und/oder die Zahlung der Vergütung zu verweigern.

4.1. Rechte an der Plattform. Die ausschließlichen Rechte an der Plattform, einschließlich aller ihrer Bestandteile (Datenbanken, Software, einschließlich einzelner Module, Dienste, Microservices und APIs), liegen beim Urheberrechtsinhaber der Plattform.
Die Ausführung der Arbeit beinhaltet unter keinen Umständen eine Übertragung oder Einräumung von Rechten an der Plattform, ihrem Quellcode, ihrer Architektur, ihren technischen Lösungen oder anderen Ergebnissen geistiger Tätigkeit an den Forscher.

4.2. Rechteübertragung. Mit der Einreichung des Berichts überträgt der Forscher dem Kunden das ausschließliche Recht an den im Bericht enthaltenen Materialien in vollem Umfang, einschließlich des Rechts, diese zu veröffentlichen, zu vervielfältigen, öffentlich zu nutzen, zu übersetzen, zu bearbeiten, zu verbreiten und anderweitig zu verwerten.
Mit der Einreichung des Berichts versichert der Forscher, dass:
1) der Forscher der alleinige Verfasser des Berichts ist;
2) der Bericht und seine Nutzung keine Rechte und rechtlichen Interessen Dritter verletzen, einschließlich Urheber- und/oder Patentrechte;
3) die übertragenen ausschließlichen Rechte frei von jeglichen Belastungen, Ansprüchen und/oder Forderungen Dritter sind.
Der Forscher erteilt dem Auftraggeber die bedingungslose und unwiderrufliche Zustimmung, Kürzungen und Ergänzungen am Bericht vorzunehmen, davon abgeleitete Werke zu erstellen sowie den Bericht ohne Nennung des Namens des Forschers zu verwenden.
Der Forscher behält sich nicht das Recht vor, den Bericht eigenständig zu nutzen oder Rechte an dessen Nutzung ganz oder teilweise an Dritte zu übertragen.

5.1. Haftungsbeschränkung des Kunden. Der Kunde haftet unter keinen Umständen für Verluste, Sachschäden oder direkte oder indirekte Schäden, die dem Forscher im Zusammenhang mit der Ausführung des Auftrags entstehen.
Der Kunde haftet nicht für sonstige Handlungen oder Ereignisse, sofern in den Bedingungen nicht ausdrücklich etwas anderes festgelegt ist, einschließlich:
1) der Unmöglichkeit der Ausführung des Auftrags aus Gründen, die außerhalb der Kontrolle des Kunden liegen;
2) die Sperrung des Kontos und/oder die automatische Einschränkung der Projektveröffentlichung auf der Plattform, verursacht durch die Ausführung der Arbeit;
3) die Verweigerung der Vergütungszahlung oder die Tatsache, dass der Vergütungsbetrag nicht den subjektiven Erwartungen des Forschers entspricht.
Sollte die in diesem Abschnitt festgelegte Haftungsbeschränkung nach geltendem Recht nicht gelten, darf die gesamte finanzielle Haftung des Kunden gegenüber dem Forscher 150 US-Dollar nicht überschreiten.

5.2. Haftung des Forschers und Ersatz von Schäden. ImFalle eines Verstoßes gegen die Bedingungen oder einer Verletzung der Rechte und berechtigten Interessen Dritter oder geltender gesetzlicher Vorschriften ist der Forscher verpflichtet, den Kunden von allen Ansprüchen, Streitigkeiten, Forderungen, Verbindlichkeiten, Schäden, Verlusten und Aufwendungen freizustellen.
Der Forscher verpflichtet sich, dem Kunden alle Verluste zu ersetzen, die durch einen Verstoß gegen die Bedingungen entstehen, einschließlich Fällen der Verletzung von Verboten und/oder Beschränkungen. Verluste sind gemäß geltendem Recht zu ersetzen.
Der Forscher erkennt an, dass dem Kunden durch die unbefugte Nutzung seiner vertraulichen Informationen ein nicht wieder gutzumachender Schaden entstehen kann. Zusätzlich zu dem in den Bedingungen vorgesehenen Schadensersatz ist der Forscher verpflichtet, dem Kunden für jeden Fall der Offenlegung oder sonstigen unbefugten Nutzung der vertraulichen Informationen eine Vertragsstrafe in Höhe von 6.000 US-Dollar zu zahlen.

Bei der Durchführung des Auftrags kann der Forscher dem Kunden seine personenbezogenen Daten zur Verfügung stellen. Diese Daten werden vom Kunden auf der Grundlage der Vereinbarung und in Übereinstimmung mit der Datenschutzerklärung verarbeitet, deren Bestimmungen der Forscher durch die Annahme der Nutzungsbedingungen akzeptiert.

7.1 Vertragsdauer. Der Vertragtritt in Kraft, sobald der Forscher die Bedingungen in der in den Nutzungsbedingungen vorgesehenen Weise akzeptiert, und bleibt bis zu seiner Kündigung in Kraft.
Der Kunde ist berechtigt, den Vertrag jederzeit einseitig zu kündigen, indem er eine entsprechende Mitteilung an die E-Mail-Adresse des Forschers sendet, die für die Übermittlung des Berichts verwendet wurde. Der Forscher ist berechtigt, den Vertrag jederzeit einseitig zu kündigen, indem er die Ausführung der Arbeit einstellt.

Die Kündigung des Vertrags berührt nicht die Gültigkeit der Bestimmungen der AGB, die ihrer Natur nach auch nach Beendigung des Vertrags in Kraft bleiben sollen, einschließlich der Bestimmungen zur Vertraulichkeit und Haftung.

7.2. Verfahren zur Änderung der Bedingungen.Die Bedingungen können vom Kunden einseitig durch Veröffentlichung einer neuen Fassung im Internet geändert werden. Der Forscher kann die aktuelle Fassung der Bedingungen hier einsehen :

Änderungen der Bedingungen treten am Tag nach der Veröffentlichung der geänderten Fassung der Bedingungen in Kraft. Der Forscher verpflichtet sich, die Bedingungen eigenständig auf Änderungen zu überprüfen, und trägt das Risiko nachteiliger Folgen, die dadurch entstehen, dass er sich nicht mit der geänderten Fassung der Bedingungen vertraut macht.

7.3. Unwirksamkeit von Bestimmungen. Die Unwirksamkeiteiner oder mehrerer Bestimmungen der Bedingungen, die durch eine rechtskräftige gerichtliche Entscheidung nach dem vorgeschriebenen Verfahren festgestellt wurde, hat nicht die Unwirksamkeit der Bedingungen insgesamt zur Folge. 
Für den Fall, dass eine oder mehrere Bestimmungen der Bedingungen nach dem festgelegten Verfahren für unwirksam erklärt werden, sind der Kunde und der Forscher verpflichtet, ihre Verpflichtungen so weit wie möglich im Sinne der ursprünglichen Absicht der Parteien zum Zeitpunkt der Annahme der Bedingungen zu erfüllen.

7.4. Anwendbares Recht und Sprachen. DieBestimmungen der Bedingungen sowie die Beziehungen zwischen dem Kunden und dem Forscher, die sich aus oder im Zusammenhang mit den Bedingungen ergeben, unterliegen dem Recht von England und Wales und sind entsprechend auszulegen, ohne Berücksichtigung der dortigen Kollisionsnormen.
Die Bedingungen sind in englischer Sprache verfasst und können dem Forscher zur Einsichtnahme in einer anderen Sprache zur Verfügung gestellt werden. Im Falle von Abweichungen zwischen der englischen Fassung der Bedingungen und der Fassung der Bedingungen in einer anderen Sprache gelten die Bestimmungen der englischen Fassung.

7.5. Streitbeilegung. AlleStreitigkeiten zwischen dem Kunden und dem Forscher sind im Wege des Schriftwechsels und durch Verhandlungen im Rahmen eines obligatorischen vorgerichtlichen (Schlichtungs-)Verfahrens beizulegen, sofern das anwendbare Recht nichts anderes vorsieht.
Falls innerhalb von 30 Tagen nach Erhalt einer schriftlichen Klage durch die andere Partei keine Einigung zwischen den Parteien erzielt werden kann, wird die Streitigkeit von jeder betroffenen Partei an die Gerichte des Dubai International Financial Centre verwiesen, deren Regeln durch Verweis als Bestandteil dieser Klausel gelten.
Die Sprache des Schiedsverfahrens ist Englisch. Die Anzahl der Schiedsrichter beträgt einen. Der Ort des Schiedsverfahrens ist Dubai, VAE, DIFC-Freihandelszone, sofern nicht durch die geltenden Gesetze ausdrücklich etwas anderes vorgesehen ist.

Kundendaten: Tilda Platform Cloud Services Co. LLC, Lizenznummer 1110180, Postfach 452972, Dubai, Vereinigte Arabische Emirate, bugbounty@tilda.cc