RESPONSIBLE DISCLOSURE POLICY (책임 있는 공개 정책)
소개
Transatel은 자사에 위탁된 정보의 가용성, 무결성, 기밀성 및 추적 가능성을 유지하기 위해 최선을 다하고 있습니다.
그러나 Transatel과 관련된 보안 침해, 취약점 또는 데이터 유출이 발견될 경우, 본 페이지는 문제를 당사에 알리기 위한 취약점 보고 처리 절차에 관한 책임 있는 공개 정책(Responsible Disclosure Policy)을 설명합니다.
보안 연구원, 개발자, 고객 또는 개인 사용자 여부와 관계없이 다음 조건을 준수하는 한 모든 보고를 환영합니다.
그러나 Transatel과 관련된 보안 침해, 취약점 또는 데이터 유출이 발견될 경우, 본 페이지는 문제를 당사에 알리기 위한 취약점 보고 처리 절차에 관한 책임 있는 공개 정책(Responsible Disclosure Policy)을 설명합니다.
보안 연구원, 개발자, 고객 또는 개인 사용자 여부와 관계없이 다음 조건을 준수하는 한 모든 보고를 환영합니다.
조건
- 발견된 취약점에 대한 정보를 기밀로 유지할 것.
- 사회공학적 공격(피싱, 사기 등), 서비스 거부 공격(DoS, DDoS), 스팸, 사기 행위 또는 물리적 보안을 위협하는 행위와 같은 자동화 도구나 공격 기법을 사용하지 않을 것.
- 필요한 범위를 초과하여 취약점을 악용하지 않을 것. 예를 들어, 필요 이상으로 데이터를 다운로드하거나 타인의 데이터 무결성을 훼손하지 않을 것.
- 보고 결과에 대한 통지를 받고자 하는 경우 연락 가능한 방법을 제공할 것.
- 결과를 security-disclosure[at]transatel.com 으로 이메일을 통해 제출할 것(이 주소는 취약점 보고 전용이며, 기타 문의는 처리되지 않습니다).
- 또는 프랑스 디지털 공화국법 제47조에 따라 관할 기관인 CERT-FR에 보고할 것: cert-fr[at]ssi.gouv.fr
- 본 정책에서 명시적으로 허용된 범위를 초과하여 어떠한 법률이나 규정을 위반하지 않을 것.
- 보고가 처리될 수 있도록 당사의 개인정보 보호정책을 조건 없이 수락할 것.
보고서 내용
- 개인정보를 익명화할 것.
- 보안 문제를 재현하거나 검증하는 데 필요한 모든 세부 정보(IP 주소, URL, 취약점 설명, OWASP, CVE 또는 ATT&CK 참조), 스크린샷 및 영향을 받는 제품 및 서비스 목록을 포함할 것.
- 해당되는 경우, 생성된 테스트 계정의 세부 정보를 명시할 것.
처리 및 기밀 유지
보고가 접수되면 보안팀에서 가능한 한 신속하게 검토합니다.
당사는 법적 및 규제 요구사항에 따라 귀하의 보고가 기밀로 처리될 것임을 보장합니다.
보고 절차에 참여한다고 해서 어떠한 지적 재산권도 부여되지 않습니다.
취약점이 발견되어 본 Responsible Disclosure Policy에 따라 보고된 경우, 보고자에 대해 어떠한 법적 조치도 취하지 않습니다. 다만, 본 정책을 준수하지 않은 경우 당사는 모든 법적 권리를 보유합니다.
마지막으로, 현재 당사는 Bug Bounty 프로그램을 제공하거나 이에 참여하고 있지 않음을 알려드립니다.
당사는 법적 및 규제 요구사항에 따라 귀하의 보고가 기밀로 처리될 것임을 보장합니다.
보고 절차에 참여한다고 해서 어떠한 지적 재산권도 부여되지 않습니다.
취약점이 발견되어 본 Responsible Disclosure Policy에 따라 보고된 경우, 보고자에 대해 어떠한 법적 조치도 취하지 않습니다. 다만, 본 정책을 준수하지 않은 경우 당사는 모든 법적 권리를 보유합니다.
마지막으로, 현재 당사는 Bug Bounty 프로그램을 제공하거나 이에 참여하고 있지 않음을 알려드립니다.