Rapportagebeleid bij beveiligingsproblemen

Bij Salesforce komt vertrouwen op de eerste plaats en nemen we de bescherming van de gegevens van onze klanten zeer serieus.

Het beveiligingsteam van Salesforce erkent de waardevolle rol die onafhankelijke veiligheidsonderzoekers spelen op het gebied van internetbeveiliging. Daarom raden we de verantwoordelijke rapportage aan van beveiligingskwetsbaarheden die mogelijk op onze website of in onze applicaties worden gevonden. Salesforce werkt samen met veiligheidsonderzoekers om eventuele kwetsbaarheden die aan ons gerapporteerd werden, te onderzoeken en aan te pakken.

Lees deze voorwaarden grondig door voordat u een test uitvoert en/of een kwetsbaarheid rapporteert. Salesforce belooft geen juridische stappen te ondernemen tegen onderzoekers voor het binnendringen of pogen binnen te dringen in onze systemen, zolang ze zich aan dit beleid houden.

Het testen van beveiligingskwetsbaarheden:

Als een Trial of Developer Edition voorhanden is, voer dan alle kwetsbaarheidstesten uit op die exemplaren. Gebruik steeds test- of demoaccounts wanneer u onze online diensten test

Het rapporteren van een potentiële beveiligingskwetsbaarheid:

  • Deel details over de vermoedelijke kwetsbaarheid met Salesforce op een private manier door een e-mail te verzenden naar  security@salesforce.com
  • Geef zo veel mogelijk informatie over de vermoedelijke kwetsbaarheid, zodat het beveiligingsteam van Salesforce het probleem kan bevestigen en reproduceren

Salesforce staat de volgende types veiligheidsonderzoek niet toe:

Hoewel we u aanmoedigen om kwetsbaarheden op een verantwoordelijke manier te ontdekken en aan ons te rapporteren, is het volgende gedrag uitdrukkelijk verboden:

  • Acties uitvoeren die Salesforce of gebruikers ervan negatief beïnvloeden (bv. spam, grof geweld, denial-of-service (versperren van toegang), enz.)
  • Uzelf toegang (proberen te) verlenen tot gegevens of informatie waarvan u niet de eigenaar bent
  • Het vernietigen of beschadigen, of het pogen te vernietigen of beschadigen, van gegevens of informatie waarvan u niet de eigenaar bent
  • Personeel, eigendom of gegevenscentra van Salesforce fysiek of elektronisch aanvallen
  • Social-engineeringaanvallen plegen op een servicedesk, medewerker of contractant van Salesforce
  • De kwetsbaarheid testen van deelnemende diensten door iets anders dan testaccounts te gebruiken (bv. Developer of Trial Editions)
  • Wetten of overeenkomsten schenden of overtreden om kwetsbaarheden te ontdekken

De betrokkenheid van het beveiligingsteam van Salesforce:

We vragen u om geen onopgeloste kwetsbaarheid te delen met of openbaar te maken aan derden. Als u een kwetsbaarheidsrapport verantwoordelijk indient, zullen het beveiligingsteam van Salesforce en geassocieerde ontwikkelingsorganisaties redelijke inspanningen leveren om:

  • Tijdig te reageren en tegelijkertijd de ontvangst van uw kwetsbaarheidsrapport te erkennen
  • Een geschatte termijn te vermelden binnen dewelke het kwetsbaarheidsrapport wordt aangepakt
  • U op de hoogte te stellen wanneer de kwetsbaarheid is opgelost

We zouden elke onderzoeker willen bedanken die een kwetsbaarheidsrapport indient, aangezien we hierdoor onze algemene veiligheid bij Salesforce kunnen verhogen.

Security Research Contributors