RESPONSIBLE DISCLOSURE POLICY(负责任披露政策)
引言
Transatel 致力于维护其所托管信息的可用性、完整性、保密性和可追溯性。
然而,如果发现与 Transatel 相关的安全漏洞、系统缺陷或数据泄露,本页面将说明我们关于漏洞报告处理的负责任披露政策(Responsible Disclosure Policy),以便及时通知我们相关问题。
无论您是安全研究人员、开发人员、客户还是个人用户,只要遵守以下条件,我们都欢迎您的报告:
然而,如果发现与 Transatel 相关的安全漏洞、系统缺陷或数据泄露,本页面将说明我们关于漏洞报告处理的负责任披露政策(Responsible Disclosure Policy),以便及时通知我们相关问题。
无论您是安全研究人员、开发人员、客户还是个人用户,只要遵守以下条件,我们都欢迎您的报告:
条件
- 对发现的漏洞信息严格保密。
- 不使用自动化工具或攻击手段,例如社会工程学攻击(网络钓鱼、诈骗等)、拒绝服务攻击(DoS、DDoS)、垃圾信息、欺诈行为或危害物理安全的行为。
- 不超出必要范围利用漏洞,例如下载超出所需的数据或损害他人的数据完整性。
- 如希望获知处理结果,请提供有效的联系方式。
- 将相关报告通过电子邮件发送至 security-disclosure[at]transatel.com(该邮箱仅用于漏洞报告,其他咨询将不予处理)。
- 或根据法国《数字共和国法》第47条的规定,向主管机构 CERT-FR 报告:cert-fr[at]ssi.gouv.fr
- 不违反任何超出本政策明确允许范围的法律或法规。
- 无条件接受我们的隐私政策,以便对您的报告进行处理。
报告内容
- 对个人数据进行匿名化处理。
- 提供重现或验证安全问题所需的所有必要信息(IP 地址、URL、漏洞描述、OWASP、CVE 或 ATT&CK 参考),截图以及受影响产品和服务的清单。
- 如适用,请说明所创建测试账户的相关信息。
处理与保密
收到报告后,我们的安全团队将尽快进行审查。
我们保证,在遵守相关法律和监管要求的前提下,您的报告将被严格保密处理。
参与报告过程不构成任何知识产权权利的授予。
如果漏洞的发现和报告符合我们的 Responsible Disclosure Policy,我们不会对报告人采取任何法律行动。但若存在不符合本政策的行为,我们保留采取一切法律措施的权利。
最后,特此声明:目前我们不提供或参与任何 Bug Bounty(漏洞奖励)计划。
我们保证,在遵守相关法律和监管要求的前提下,您的报告将被严格保密处理。
参与报告过程不构成任何知识产权权利的授予。
如果漏洞的发现和报告符合我们的 Responsible Disclosure Policy,我们不会对报告人采取任何法律行动。但若存在不符合本政策的行为,我们保留采取一切法律措施的权利。
最后,特此声明:目前我们不提供或参与任何 Bug Bounty(漏洞奖励)计划。