脆弱性開示ポリシー

Socialinsider - Code Path SRL のプロダクト

Socialinsiderは、ユーザーの情報を保護することで安全性の確保に努めております。このポリシーは、セキュリティリサーチャーが脆弱性発見活動を行う際のガイドラインと、脆弱性の報告方法についてご案内します。

このポリシーでは、対象となるシステムやリサーチの種類、脆弱性レポートの送付方法、そして脆弱性を一般公開するまでお待ちいただく期間について説明します。弊社のシステムで見つけた脆弱性については、ぜひご連絡ください。

セキュリティリサーチの際に本ポリシー遵守に誠意ある努力をされた場合、そのリサーチは正当とみなし、当社は迅速な課題解決をサポートします。また、Socialinsiderはリサーチに関連する法的措置を推奨も追及もしません。本ポリシーの範囲内で行われた活動に対し、第三者から法的措置が起こされた場合は、当社が正当性を表明します。

ガイドライン

本ポリシーにおいて、「リサーチ」とはセキュリティリサーチャーとして行う以下の活動を指します。

• セキュリティ上の問題を発見した場合は、できるだけ早くご連絡ください。
• プライバシー侵害、ユーザー体験の低下、プロダクションシステムの障害、データの破壊や改ざんを極力避けてください。
• 脆弱性の存在を確認するために必要な範囲でのみエクスプロイトを使用してください。データ侵害や流出、コマンドラインへの持続的なアクセス確立、他のシステムへのピボットには利用しないでください。
• 問題を公開する前に、当社が対応できる十分な時間を与えてください。
• 質の低いレポートを大量に送信しないでください。

レポート内容を明確にするため、以下の点にご配慮ください。

• 脆弱性が発見された場所と、悪用時の潜在的な影響を記載してください。
• 脆弱性の再現手順を詳しく説明してください。スクリーンショットや動画も効果的です。
• レポートは英語でご提出ください。

脆弱性が存在することを確認した場合、または個人を特定できる情報、財務情報、第三者の専有情報や営業秘密などの機密データに遭遇した場合は、ただちにテストを中止し、すぐに当社へご連絡ください。このデータを他の誰にも開示しないでください。

禁止されている行為

以下のテスト手法は許可されていません:

• サービス拒否（DoSまたはDDoS）テストやシステムへのアクセスを妨げるその他のテスト
• 非技術的な脆弱性テスト

このポリシーは以下のシステムおよびサービスに適用されます:

• https://www.socialinsider.io
• https://app.socialinsider.io

上記に明記されていないすべてのサービス（接続されたサービス等）は本ポリシーの対象外であり、テストは許可されていません。
また、ベンダーのシステムで発見された脆弱性も本ポリシーの範囲外です。ベンダーが開示ポリシーを定めている場合は、直接ベンダーへ報告してください。
システムが対象範囲かどうか不明な場合は、調査を始める前に security@socialinsider.io までお問い合わせください。

テストが必要だと思われる対象外のシステムがある場合は、まずご連絡の上ご相談ください。本ポリシーの対象範囲は今後拡大する可能性があります。

脆弱性の報告

本ポリシーに基づきご提供いただいた情報は、防御目的のみに利用されます。脆弱性の緩和または修正のために活用します。

発見された内容が、Socialinsiderだけでなくすべての製品・サービス利用者に影響を及ぼす新たな脆弱性を含む場合、第三者とレポートを共有することがあります。その際は各社の調整された脆弱性公開プロセスに従って扱われます。

ご本人の明示的な許可なく、連絡先情報を共有することはありません。
脆弱性レポートは security@socialinsider.io で受け付けています。匿名での提出も可能です。

お客様がご連絡先情報を共有された場合、できる限り迅速かつオープンにご対応することをお約束します。

• 7営業日以内に、報告を受領した旨をご連絡します。
• 脆弱性の有無を確認し、改善対応の進捗についてできる限り透明性を持ってご案内します。
• 問題に関する対話を継続的に行います。