脆弱性開示ポリシー
背景
脆弱性開示ポリシー (VDP) は、製品、サービス、システムにおける潜在的なセキュリティ脆弱性を報告するための指針を定めたものです。脆弱性を安全かつ合法的に、適切に管理された形で責任をもって開示する仕組みです。
Keeper Security, Inc.では、公式のバグバウンティプログラム (脆弱性報奨金制度) も運営しています。VDPに基づいて提出された報告は受理および確認されますが、金銭的な報奨や、協調的なフォローアップ対応は行われません。
オシロスコープ
本ポリシーは、Keeper Securityが所有および運営する以下のシステムを対象とします。
- ウェブアプリケーション
- API
- モバイルアプリ
- Keeper Securityが所有、運営するすべてのサービス
報告に関するガイドライン
潜在的な脆弱性を発見された場合は、以下の手順に従ってください。
- 脆弱性開示フォームからご報告ください。
- 技術的な詳細を含め、脆弱性の内容を明確に記載します。
- 当社による脆弱性の確認と対策が完了するまで、問題を公に開示しないでください。
- システムの停止、データの侵害、お客様への影響につながる行為は行わないでください。
対応に関するルール
本ポリシーおよび当社の利用規約に基づき、以下の行為は禁止されています。
- 脆弱性の存在を証明するために必要な範囲を超えて、脆弱性を悪用すること。
- お客様または従業員のデータにアクセス、変更、外部へ持ち出すこと。
- プライバシーを侵害する行為、サービスや可用性を低下させる行為、システムの完全性に影響を与える行為。
- 高トラフィックやサービス拒否 (DoS) を引き起こす自動スキャンツールを使用すること。
バグバウンティプログラム
当社は、「Bugcrowd」と呼ばれる一般公開のバグバウンティプログラムを別途運営しており、対象となる参加者には、協調的な対応および報奨が適用されます。バグバウンティプログラムは、脆弱性開示ポリシー (VDP) とは別に運用されています。
VDPに基づいて提出された報告は、Keeper Security, Inc.の裁量により受理および確認されますが、バグバウンティプログラムを通じた場合を除き、金銭的報奨や協調的な連絡対応の対象とはなりません。
バグバウンティプログラムへの参加を希望する研究者は、VDPを通じて報告を提出する際にその旨を明示できます。当社は報告内容を確認の上、参加を案内する場合があります。詳細については、Bugcrowdをご確認ください。
