セールスフォース・ドットコムの脆弱性報告ポリシー

セールスフォース・ドットコムのセキュリティチームは、インターネットセキュリティにおいて独立系のセキュリティ研究者が果たす役割の重要性を認識しています。当社の最優先事項は、お客様データの安全を守ることであり、当社サイトまたはアプリケーションの脆弱性を発見された場合には、ご報告いただきたいと考えています。セールスフォース・ドットコムは、セキュリティコミュニティに積極的に協力し、当社に報告された潜在的脆弱性については、調査・対応を実施します。また、セールスフォース・ドットコムは、当社システムへの侵入または侵入の試みが以下に示す条件を守る限りにおいて、セキュリティ研究者に対して、法的措置をとらないことをお約束します。

セキュリティの脆弱性のテスト:

当社お客様データのリスクを最小化する目的で、当社オンラインサービスのトライアル組織または Developer Edition 組織 (インスタンス) に対し、あらゆる脆弱性テストを実行する場合。

セキュリティの潜在的脆弱性の報告:

  • 脆弱性が疑われる場合に、メールを security@salesforce.com 宛てに送信し、その詳細を非公開で共有する場合。
  • 脆弱性が疑われる場合、セールスフォース・ドットコムのセキュリティチームがその問題を検証および再現できるよう、その完全な詳細を提供する場合。

セールスフォース・ドットコムは、以下の種類のセキュリティ調査は許可しません。

  • サービス妨害 (DoS) 状態を引き起こす、または引き起こそうとする調査。
  • 自分自身の所有ではないデータまたは情報にアクセス、またはアクセスを試みる調査。
  • 自分自身の所有ではないデータまたは情報の破壊または改ざん、あるいは、破壊または改ざんを試みる調査。

セールスフォース・ドットコムのセキュリティチームの責任:

このセールスフォース・ドットコムの脆弱性報告ポリシーを順守するすべてのセキュリティ研究者に対し、セールスフォース・ドットコムのセキュリティチームは、以下のことをお約束します。

  • 報告の受領を知らせて、タイムリーに対応する
  • 脆弱性の対応にかかる予定時間を知らせる
  • 脆弱性を解決した時点で、報告者個人に通知する

無報酬:

セールスフォース・ドットコムは、セキュリティの脆弱性の報告者に対して、報酬を支払うことはありません。また、そうした報酬の要求は、上記の条件に違反するものとみなします。そのような場合、セールスフォース・ドットコムはあらゆる法的権利を留保します。