責任ある開示プログラム

 はじめに

当社は、デジタルセキュリティ研究コミュニティの貴重な役割を認識しており、当社の製品やシステムの潜在的な脆弱性に関する調査員の報告を歓迎します。当社は、お客様を保護し、システムの機密性、可用性、完全性を強化するために必要な措置を講じることができるように、できるだけ早く通知を受けることを希望します。脆弱性を特定された場合は、当社まで率直に報告していただければ幸いです。

以下の情報をご提供ください

• 特定されたエラーまたは発見の性質
• 複製するために必要な手順
• 脆弱性の特定に使用したアプリケーション、プログラム、またはツール
• テストを実施した日時
• 適切と思われる場合は、問題を再現した画像またはビデオを添付してください
• ご連絡を希望される場合は、ご連絡先をご記入ください。匿名を希望される場合は、匿名メール転送サービスをご利用ください。匿名での報告も真摯に受け止めます。
• 情報公開のご予定
• 公表希望の有無

これは、暗号化された電子メールを使用して当社に連絡する場合に適用されます。代わりに [インシデントと脆弱性の報告] フォーム を使用する場合は、すべての必須フィールドに入力してください。当社で必要な情報を保持します。

ルール

• 問題が解決するまで、脆弱性情報を第三者と共有しないでください。
• 安全上の問題を実証するために必要以上の行動をとらないでください。
• この脆弱性を悪用しないでください。当社に問題を通知するために必要な情報を挙げるのみとしてください。
• 脆弱性に関して取得した機密データは保存しないでください。
• データを削除、変更、または破損しないでください。
• 発見した脆弱性をテストする際に、サービスの中断やシステムの誤動作を起こさないでください。
• 物理攻撃やDDOS攻撃は行わないでください。
• ソーシャルエンジニアリング、マルウェアのインストール、フィッシング、パスワード盗用は禁止されています。

HMS Networksはどのように対応しますか？

• 申告後3営業日以内にHMSから受付通知が届きます。
• 情報が公開される前に、脆弱性に対処するために相応の時間が必要です。脆弱性を分析した上で、緩和策や実施時期の目安についてお客様と合意します。
• 脆弱性が修正され次第、お客様へ通知します。
• HMSは、問題を公表するか、またはどのように公表するかをお客様とともに決定します。問題が解決されるまで、公表されません。ご希望があれば、当社は発見者としてお客様の名前を記載します。

免責

この責任ある開示プログラムは、苦情を受け付けるために設けたものではありません。また、このプログラムは、次のことを意図したものではありません。

• Webサイトが利用できないことを報告する。
• 虚偽のメール(フィッシング)を報告する。
• 詐欺を報告する。
• 当社製品のサポート依頼。

これらのトピックに関するご質問や、その他のご質問は、お問い合わせページをご覧ください。

補償

本規則の不遵守

お客様の行動が上記の規則を遵守していない場合、HMS Networksは法的措置を取る権利を留保します。

暗号化されたメールキー

当社の製品またはサービスにセキュリティ上の問題を発見したと思われる場合は、お早めに [email protected] までご連絡ください。

暗号化通信には、次の公開PGPキーを使用できます。

キー ID: 3F982669

キーフィンガープリント: 9810 5448 5CC5 2102 07D8 A6EF 7DA2 7ECE 3F98 2669