RESPONSIBLE DISCLOSURE POLICY(責任ある情報開示ポリシー)
はじめに
Transatel は、当社に委ねられた情報の可用性、完全性、機密性、および追跡可能性を維持することを約束します。
しかしながら、Transatel に関連するセキュリティ侵害、脆弱性、またはデータ漏洩が発見された場合、本ページでは、問題を当社に通知するための脆弱性報告の取り扱いに関する責任ある情報開示ポリシー(Responsible Disclosure Policy)について説明します。
セキュリティ研究者、開発者、顧客、または個人のいずれであっても、以下の条件を遵守していただければ、すべての報告を歓迎します。
しかしながら、Transatel に関連するセキュリティ侵害、脆弱性、またはデータ漏洩が発見された場合、本ページでは、問題を当社に通知するための脆弱性報告の取り扱いに関する責任ある情報開示ポリシー(Responsible Disclosure Policy)について説明します。
セキュリティ研究者、開発者、顧客、または個人のいずれであっても、以下の条件を遵守していただければ、すべての報告を歓迎します。
条件
- 発見した脆弱性に関する情報を機密として保持すること。
- ソーシャルエンジニアリング(フィッシング、詐欺など)、サービス拒否攻撃(DoS、DDoS)、スパム、詐欺行為、または物理的セキュリティを脅かす行為などの自動化ツールや攻撃手法を使用しないこと。
- 必要以上に脆弱性を悪用しないこと。例えば、必要以上のデータをダウンロードしたり、第三者のデータの完全性を損なったりしないこと。
- 報告結果についての連絡を希望する場合は、当社が連絡可能な手段を提供すること。
- 結果を security-disclosure[at]transatel.com 宛に電子メールで送信すること(このアドレスは脆弱性報告専用であり、その他のお問い合わせは処理されません)。
- または、フランスの「デジタル共和国法」第47条に基づき、所管機関である CERT-FR に報告すること:cert-fr[at]ssi.gouv.fr
- 本ポリシーで明示的に許可されている範囲を超えて、いかなる法律や規制にも違反しないこと。
- 当社のプライバシーポリシーを無条件で承諾し、報告の処理を許可すること。
報告内容
- 個人データを匿名化すること。
- セキュリティ問題を再現または検証するために必要なすべての情報(IPアドレス、URL、脆弱性の説明、OWASP・CVE・ATT&CKの参照)、スクリーンショット、および影響を受ける製品・サービスの一覧。
- 該当する場合は、作成したテストアカウントの詳細。
処理と機密性
報告を受領後、セキュリティチームが可能な限り速やかに内容を確認します。
当社は、法令および規制上の要件に従い、報告内容を機密として取り扱うことを保証します。
報告プロセスへの参加によって、いかなる知的財産権も付与されることはありません。
脆弱性が発見され、本 Responsible Disclosure Policy に従って報告された場合、報告者に対して法的措置が取られることはありません。ただし、本ポリシーに違反した場合には、当社はすべての法的権利を留保します。
なお、現時点では当社は Bug Bounty プログラムの提供および参加を行っておりません。
当社は、法令および規制上の要件に従い、報告内容を機密として取り扱うことを保証します。
報告プロセスへの参加によって、いかなる知的財産権も付与されることはありません。
脆弱性が発見され、本 Responsible Disclosure Policy に従って報告された場合、報告者に対して法的措置が取られることはありません。ただし、本ポリシーに違反した場合には、当社はすべての法的権利を留保します。
なお、現時点では当社は Bug Bounty プログラムの提供および参加を行っておりません。