脆弱性の協調的開示
Password Depot の Coordinated Vulnerability Disclosure / VDP
本ポリシーの目的
AceBIT GmbHは、Password Depot および AceBIT が責任を負う関連の製品向けWebサービスにおける脆弱性に関する報告を歓迎します。本ポリシーは、セキュリティ研究者が潜在的な脆弱性をどのように報告できるか、セキュリティ調査においてどのようなルールが適用されるか、また協調的開示の枠組みにおいて AceBIT がどのような方針を示すかを定めるものです。
報告はドイツ語または英語で行うことができます。
対象範囲
- Password Depot Enterprise Server
- Password Depot Windows Client
- Password Depot macOS Client
- Password Depot Linux Client
- ブラウザー拡張機能(Chrome、Edge、Firefox)
- モバイルアプリ(iOS、Android)
- password-depot.de 上の製品関連Webサービス
記載された製品の一部を構成する第三者コンポーネントを含みます。
対象外
- 本番の顧客環境、顧客固有のインストール、およびその他の第三者システム
- Password Depot の一部ではない、第三者が運用するサービスまたはインフラストラクチャ
- ソーシャルエンジニアリング、フィッシング、物理的攻撃、スパム、ブルートフォース、Credential Stuffing、大規模スキャン、またはサービス拒否テスト
Safe Harbor
お客様が誠実に行動し、本ポリシーを遵守し、テストを上記の対象範囲に限定し、データの閲覧、変更、削除、外部送信、またはサービスへの妨害を行わない場合、当社は、法的に許容される範囲で、このようなセキュリティ調査を理由とする民事上の請求を行いません。
当社の管理可能な範囲内であり、かつ法的に許容される場合には、このようなセキュリティ調査について刑事告発も行いません。
ただし、対象範囲外の行為、顧客またはその他の第三者システムに対するテスト、個人データ保護違反、業務妨害、またはその他の適用法令違反には適用されません。
セキュリティ研究者の皆様へのお願い
暗号化通信
機密性の高い技術情報については、Password Depot Security Teamの公開PGPキーをご利用ください。暗号化する前に、ダウンロードしたキーのフィンガープリントを必ずご確認ください。
さらに、/.well-known/security.txt のRFC 9116(security.txt)からも確認できます。
脆弱性の報告方法
報告を送信
報告は次の宛先までお送りください:
security@password-depot.de以下を添えてください
- 対象となる製品、バージョン、ビルド、コンポーネント
- 脆弱性の説明
- 再現手順 / Proof of Concept
- 影響範囲および重大度の評価
- テスト環境、構成、および前提条件
- 連絡先情報および必要に応じて氏名公表の希望
機密保持
当社は、法的に許容される範囲で、お客様の報告内容およびご希望がある場合はお客様の身元を機密として取り扱います。お名前を公表するのは、事前にご同意いただいた場合に限ります。
お客様の情報は、脆弱性の調査、修正、協調的な開示、または法的義務の履行に必要な場合にのみ共有されます。
報告後の流れ
協調的な公開とSecurity Advisories
セキュリティアップデートまたはその他の有効な対策が利用可能になり次第、確認済みの脆弱性については通常、Security Advisoryを公開します。
即時公開がユーザーの安全を損なうおそれがある場合、適切な時期まで公開を延期することがあります。
Security Advisoryには、少なくとも以下が含まれます
- 脆弱性の説明
- 影響を受ける製品およびバージョン
- 影響と重大度
- 修正または緩和のための明確な案内
法的な報告義務に関する注意
報告内容が、実際に悪用されている脆弱性または重大なセキュリティインシデントを示している場合、当社は法令に基づき、必要な技術情報を所轄当局、担当CSIRT、およびENISAに提供し、影響を受けるユーザーに通知する義務を負うことがあります。
その際、お客様の身元情報は、法的に必要な範囲でのみ開示します。
謝辞
現在、別途明示的に案内している場合を除き、金銭的報奨やBug Bountyの支払いは提供していません。
ご希望の場合は、脆弱性の修正後にSecurity Advisoryまたは謝辞の中でお名前を掲載します。ご報告の際にその旨をお知らせください。