Policy för rapportering av säkerhetsrisker

 

För oss på Salesforce är förtroende vår viktigaste värdering och vi tar våra kunders säkerhet på största allvar.

Salesforces säkerhetsteam uppskattar den viktiga roll som oberoende säkerhetsforskare spelar i frågan om internetsäkerhet. Vi uppmuntrar därför ansvarsfull rapportering av alla sårbarheter som eventuellt upptäcks på vår webbplats eller i våra applikationer. Salesforce har åtagit sig att samarbeta med säkerhetsforskare för att verifiera och åtgärda eventuella sårbarheter som rapporteras till oss.

Läs igenom dessa villkor innan du testar och/eller rapporterar en sårbarhet. Salesforce förbinder sig att inte inleda någon rättslig process mot forskare som gör intrång i eller försöker göra intrång i våra system så länge de följer riktlinjerna i denna policy.

Söka efter sårbarheter i säkerheten:

Om en testversion eller Developer Edition är tillgänglig ska alla sårbarhetstester utföras på dessa versioner. Använd alltid test- eller demokonton vid tester av våra onlinetjänster.

 

Rapportera potentiell sårbarhet i säkerheten:

  • Rapportera uppgifter om misstänkt sårbarhet till Salesforce genom att skicka ett e-postmeddelande till security@salesforce.com
  • Tillhandahåll fullständig information om misstänkt sårbarhet så att Salesforces säkerhetsteam kan verifiera och återskapa problemet
 

Salesforce tillåter inte följande typer av säkerhetsforskning:

Vi uppmuntrar dig att hitta och rapportera eventuella sårbarheter du hittar på ett ansvarsfullt sätt; följande förfaranden är dock uttryckligen förbjudna:

  • Att utföra handlingar som negativt kan påverka Salesforce eller dess användare (t.ex. skräppost, nyckelsökningsangrepp, Denial of Service…)
  • Att ha tillgång till, eller försöka få tillgång till, data eller information som inte tillhör dig
  • Att förstöra eller ändra, eller försöka förstöra eller ändra, data eller information som inte tillhör dig
  • Att utföra någon form av fysisk eller elektronisk attack på Salesforces personal, egendom eller datacentra
  • Social manipulation av Salesforces kundtjänst, anställda eller entreprenörer
  • Att genomföra sårbarhetstester på inkluderade tjänster med annat än testkonton (t.ex. Developer Editions eller testversioner)
  • Att bryta mot lagen eller bryta mot avtal för att upptäcka sårbarheter
 

Salesforce säkerhetsteam åtagande:

Vi ber dig att inte informera tredje part om eller publicera olösta sårbarheter. Om du på ett ansvarsfullt sätt inkommer med en sårbarhetsrapport kommer Salesforce säkerhetsteam och associerade utvecklingsorganisationer att med rimlig ansträngning:

  • Svara så snart som möjligt, bekräfta mottagandet av din sårbarhetsrapport
  • Tillhandahålla en uppskattad tidsplan för att bearbeta sårbarhetsrapporten
  • Informera dig om när sårbarheten har åtgärdats

Vi framför gärna vårt tack till alla forskare som inkommer med sårbarhetsrapporter som hjälper oss på Salesforce att förbättra vår övergripande säkerhet.