Responsible Disclosure & Vulnerability Disclosure Policy

AI Vault Systems Inc.
(Verksamhet i USA och Europeiska unionen via AI Vault Iberia S.L.)

1. Syfte

AI Vault Systems Inc. (“AI Vault”, “företaget”, “vi”, “vår”) upprätthåller ett samordnat program för avslöjande av sårbarheter för att säkerställa säkerheten, integriteten och motståndskraften hos:

Vår infrastruktur för AI-data
Molnsystem och API:er
Webb- och mobilapplikationer
Smarta kontrakt och blockchain-integrationer
Virdato (VIRD) ekosystem för verktygstoken
Tokendistribution och belöningsmekanismer

Vi stöder ansvarsfull säkerhetsforskning och uppmuntrar samordnad information i enlighet med tillämplig amerikansk lag och EU:s förordning om marknader för kryptotillgångar (MiCA).

2. Lagstiftningskontext (EU MiCA & USA)

AI Vault Systems Inc. har sitt säte i Delaware (USA) och kan bedriva verksamhet eller erbjuda tjänster inom Europeiska unionen.

I tillämpliga fall utfärdas Virdato (VIRD) som en verktygstoken enligt förordning (EU) 2023/1114 (MiCA).

I linje med MiCA:s krav:

Väsentliga drifts- eller säkerhetsincidenter som påverkar ekosystemet för kryptotillgångar kan kräva anmälan till tillsynsmyndigheten.
Betydande cybersäkerhetshändelser kan kräva att behöriga EU-myndigheter informeras.
Säkerhetsbrister som påverkar tokeninnehavare kan kräva transparent kommunikation.

Ingenting i denna policy begränsar obligatoriska lagstadgade rapporteringsskyldigheter enligt:

MiCA
GDPR
EU:s ramverk för cybersäkerhet
federal eller delstatlig lagstiftning i USA

3. Omfattning

Denna policy gäller för sårbarheter som påverkar:

A. AI-valvets datainfrastruktur

System för bearbetning av AI
Skaparens belöningssystem
Pipelines för datainhämtning
Backend-tjänster och API:er
System för autentisering
Databaser
Infrastruktur i molnet
Analysverktyg

B. Virdato (VIRD) Ekosystem för verktygstoken

Smarta kontrakt (alla nätverk som stöds)
Logik för Token-anspråk
Algoritmer för belöningströsklar
Valideringstjänster utanför kedjan
Instrumentpaneler för tokens
Integrering av plånböcker
Token-distributionssystem

4. Nivåer för klassificering av incidenter

Säkerhetsincidenter klassificeras internt enligt följande:

🔴 Kritisk

Exploatering av smart kontrakt som möjliggör token-drain
Otillåten myntning eller inflation
Kompromittering av privata nycklar
Massexponering av personuppgifter
Systemiskt intrång i infrastruktur
Exploateringar som påverkar tokenekonomin

Mål för insatsen: Omedelbar inneslutning och akut sanering.

🟠 Hög

Sårbarheter vid eskalering av behörigheter
Kringgående av autentiseringskontroller
Exponering av känsliga operativa data
Betydande risk för manipulation av belöning
Större API-utnyttjande

Mål för åtgärder: Påskyndad sanering och eventuell översyn av lagstiftningen.

🟡 Medium

Informationsspridning med begränsad effekt
Icke-kritiska problem med logiken i smarta kontrakt
Förbikoppling av hastighetsbegränsning
Mindre felberäkning av belöning

Mål för åtgärd: Planerad sanering.

🟢 Låg

Kosmetiska problem
Icke-exploaterbara buggar
Mindre svagheter i konfigurationen

Mål för svar: Upplösning av underhållscykel.

5. Rapportering av en sårbarhet

Om du identifierar en sårbarhet samtycker du till att:

Meddela oss omgående på:
security@aivaultsystems.com
Tillhandahålla:
- Detaljerad beskrivning
- Steg för att reproducera
- Berörda URL:er eller kontraktsadresser
- Transaktionshashar (om tillämpligt)
- Proof-of-concept-bevis
Avstå från:
- Tillgång till användardata
- Tömning eller inmutning av polletter
- Ändra systemdata
- Genomföra tester för överbelastningsskydd
- Utnyttja belöningssystem
- Manipulering av likviditetspooler
Tillåt rimlig tid för korrigering innan offentliggörande.

6. Specifika regler för smarta kontrakt och tokens

För Virdato-relaterade sårbarheter:

Inte genomföra token extraction eller likviditetsdränering
Manipulera inte belöningströsklarna
Stör inte försörjningen av token
Försök inte med ekonomiskt arbitrage

Om en sårbarhet påverkar tokeninnehavare krävs samordnad information innan offentlig kommunikation.

Otillåten manipulation av token kan utgöra bedrägeri eller marknadsmissbruk enligt EU- och amerikansk lag.

7. Säker hamn

AI Vault kommer inte att vidta rättsliga åtgärder mot forskare som:

Handla i god tro
Undvik kränkningar av den personliga integriteten
Undvik ekonomiskt utnyttjande
Följa denna policy

Safe harbor gäller inte för:

Extrahering av symboler
Manipulation av marknaden
Datainsamling
Avbrott i tjänsten
Avsiktlig ekonomisk vinning

8. Utredning och regulatorisk eskalering

Vid mottagande av en giltig rapport kommer vi att:

Bekräfta mottagandet inom en rimlig tidsram
Undersöka och validera resultaten
Klassificera allvarlighetsgrad
Åtgärda bekräftade sårbarheter
Eskalera till juridisk granskning och granskning av efterlevnad om så krävs
Underrätta tillsynsmyndigheter om så krävs enligt MiCA eller tillämplig lag

Om MiCA kräver anmälan av en betydande incident som påverkar innehavare av kryptotillgångar förbehåller sig AI Vault rätten att meddela behöriga myndigheter utan dröjsmål.

9. Offentliggörande av information

Forskare får inte offentliggöra sårbarheter förrän:

Saneringen är bekräftad, ELLER
En ömsesidigt överenskommen tidsgräns för offentliggörande har passerats

För tidigt offentliggörande som orsakar ekonomisk skada, störningar av symbolisk betydelse eller exponering för reglering kan upphäva safe harbor-skyddet.

10. Ingen garanti för ekonomisk belöning

AI Vault kan efter eget gottfinnande erkänna giltiga säkerhetsavslöjanden.

Det gör inte denna policy:

Inrätta ett belöningsprogram
Skapa avtalsenliga skyldigheter
Garantera ekonomisk ersättning

11. Rättsligt meddelande

Denna policy ger inte tillstånd:

Obehörig åtkomst till systemet
Token-manipulation
Ekonomiskt utnyttjande
Kringgående av tekniska kontroller
Överträdelse av EU:s eller USA:s lagar om cybersäkerhet

All testning måste ske inom lagliga gränser.

12. Kontaktuppgifter

Säkerhetsrapporter:
security@aivaultsystems.com

Företagsenhet:
AI Vault Systems Inc.
Delaware, Förenta staterna

EU:s operativa närvaro:
AI Vault Iberia S.L i Barcelona, Spanien