脆弱性報告ポリシー

 

Salesforce は、信頼を最大の価値とし、お客様のデータの保護に真摯に取り組んでいます。

Salesforce セキュリティチームは、個人のセキュリティ調査員がインターネットセキュリティで果たす貴重な役割に感謝しております。 そのため、当社は、当社のサイトまたはアプリケーションで見つかる可能性のある脆弱性について責任を持って報告することを奨励しています。 Salesforce は、セキュリティ調査員と協力して、当社に報告された潜在的脆弱性の確認および解決に取り組んでいます。

脆弱性のテストや報告を行う前に、これらの条件を確認してください。 Salesforce は、調査員が本ポリシーに従っている限り、当社のシステムに侵入または侵入を試みたとして調査員に対して法的措置を起こさないことを保証します。

セキュリティの脆弱性のテスト:

トライアルまたは Developer Edition が利用できる場合、必ずこうしたインスタンスですべての脆弱性テストを実行してください。 当社のオンラインサービスをテストする場合、必ずテストアカウントまたはデモアカウントを使用してください。

 

セキュリティの潜在的脆弱性の報告:

  • security@salesforce.com 宛にメールを送信し、疑わしい脆弱性の詳細を直接 Salesforce にお知らせください。
  • Salesforce セキュリティチームが問題を検証して再現できるように、疑わしい脆弱性の十分な詳細をお知らせください
 

Salesforce は、以下のようなセキュリティ調査を許可していません。

当社はお客様が責任ある態度で脆弱性を発見して当社に報告することを奨励していますが、以下の行為は明示的に禁止とします。

  • Salesforce またはそのユーザに悪影響を及ぼす可能性のある行為を行う調査 (たとえば、 スパム、しらみつぶし、サービス拒否など)。
  • 自分自身の所有ではないデータまたは情報にアクセス、またはアクセスを試みる調査。
  • 自分自身の所有ではないデータまたは情報の破壊または改ざん、あるいは、破壊または改ざんを試みる調査。
  • Salesforce の従業員、資産、またはデータセンターに対して物理的または電子的な攻撃を行う調査。
  • Salesforce サービスディスク、従業員、契約業者のソーシャルエンジニアリングを行う調査。
  • テストアカウント以外を使用して参加サービスの脆弱性テストを行う調査 (たとえば、 Developer Edition またはトライアルエディションのインスタンス)。
  • 脆弱性を発見するために法律または契約事項を犯す調査。
 

Salesforce セキュリティチームの責任:

未解決の脆弱性を第三者に知らせたり公開したりしないようお願いいたします。 お客様が責任を持って脆弱性報告を送信していただいた場合、Salesforce セキュリティチームおよび関連する開発組織は以下を実現するために合理的な努力をいたします。

  • 直ちに返信し、お客様から脆弱性報告を受け取ったことをお知らせいたします。
  • 報告された脆弱性を解決するためにかかると予測される期間を提示します。
  • 脆弱性が解決された際にお客様にお知らせいたします。

当社は、脆弱性報告を行い、当社が Salesforce における全体的なセキュリティを向上するのを手助けするすべての個人の調査員に感謝いたします。