概要
Edovia では、セキュリティを最優先に考えており、セキュリティ研究者や一般の方からの責任ある脆弱性報告を歓迎しています。当社の製品やサービスでセキュリティ問題、プライバシーに関する懸念、または公開されたデータを発見したと思われる場合は、ぜひ当社にご報告ください。このドキュメントでは、セキュリティ問題の報告方法、当社の取り組み、期待について概説しています。
適用範囲
このポリシーは以下に適用されます:
- Edovia のソフトウェアおよび製品
- Edovia が運営するサービスおよびインフラストラクチャ
- 当社製品に関連するドキュメント
除外
次の種類のレポートは、このポリシーの適用範囲外です:
- 物理的なセキュリティ上の懸念 (例: オフィスへのアクセス、不正な侵入)
- ソーシャル エンジニアリング攻撃 (例: フィッシング、なりすましの試み)
- 適用範囲セクションに明示的に記載されていないシステムの問題
- 外観上の問題 (例: セキュリティに影響のない UI/UX のバグ)
- 誤植
- サービス拒否 (DoS/DDoS) の脆弱性
- Edovia によって管理されていないサードパーティのサービス
適用範囲外のシステムで問題を発見した場合は、適切なベンダーまたは組織に報告することをお勧めします。
当社に期待できること
お客様が誠意を持って有効なセキュリティ問題を報告した場合、当社は次の対応を行います:
- 報告を承認し、できるだけ早く評価を開始します
- 報告がレビュー中である間、報告のステータスについてお客様に通知します
- 重大度と影響に基づいてセキュリティ脆弱性の解決に取り組みます
- 開示が本ポリシーのガイドラインに従っている場合は、セーフ ハーバー保護を提供します
責任ある開示ガイドライン
責任ある効果的な開示プロセスを確保するために、お客様に次のことをお願いしています:
- セキュリティ上の懸念を調査する際には、本ポリシーと該当する条件に従います
- 発見事項を速やかに報告し、サービスやユーザーを混乱させる可能性のある行動は避けます
- 問題を実証するために必要なものだけにテストを制限します
- セキュリティ上の懸念を伝えるには、公式のチャネルを使用します
- 公開前に問題に対処するための合理的な時間を確保します
- 範囲内のシステムのみをテストし、明示的に除外されたターゲットは避けます
- 所有している、または明示的に使用を許可されているテスト アカウントを使用します
- 恐喝または補償の要求と解釈される可能性のある行動は控えます
セキュリティ問題の報告
セキュリティ上の懸念を報告するには、懸念事項がある場合は、次の公式チャネルをご利用ください:
https://edovia.com/.well-known/security.txt
詳細を提供していただければ、より迅速に問題を評価して対処できます。
セーフ ハーバー
お客様が誠意を持ってこのポリシーに沿ってセキュリティ リサーチを実施した場合、当社は次の対応を行います:
- お客様のリサーチは、適用されるハッキング防止法に基づいて承認されているとみなします
- 意図しないポリシー違反に対して法的措置を講じません
- お客様のテストに対して回避防止法を適用しません
- お客様の調査結果を、当社の規約違反ではなく、セキュリティ向上の取り組みとして扱います
第三者がこのポリシーに沿ったリサーチに対してお客様に対して法的措置を講じた場合、当社はお客様の行動が責任ある開示原則に従ったものであることを伝えます。
お客様のテストがこのポリシーに沿っているかどうか不明な場合は、続行する前に当社にご連絡ください。
注: セーフ ハーバーは、Edovia の管理下にある法的請求にのみ適用され、独立した第三者には適用されません。
バウンティプログラム
Edoviaはバグ報奨金や報酬プログラムには参加しておりません。責任ある脆弱性の報告には感謝しておりますが、現在、金銭的報酬やその他の特典は提供しておりません。