jp.diligent.com

ブランドプロミス

Galvanize では、全力を挙げて、お客様のデータを保護する堅牢でセキュアなサービスを提供しています。 弊社では、お客様にサービスを提供するだけでなく、そのサービスを弊社自身で使用して、弊社のデータを弊社製品に保管しています。 弊社がそうするのは、業界をリードするセキュリティ技術、洗練されたセキュリティ方針とプラクティス、ならびにセキュリティトレーニング、テスト、第三者視点の監査、専門家によるコンサルティング、高度なツールへの継続的投資の上に弊社のプラットフォームが構築されていることを知っているからです。

そのため、Galvanize は自社製品の脆弱性情報に関するレポートを受けつける目的で、係るポリシーの策定を行っています。 Galvanize は、セキュリティコミュニティとの透明性のあるパートナーシップの強化につながることを期待すると共に、当該コミュニティの活動が弊社のお客様に安全性、セキュリティを提供し続ける上で軽視してはならないことを認識しています。

そこで、弊社の企業価値を反映し、専門知識を提供してくださる誠実なセキュリティの専門家の皆様に対して法的責任を果たすこのポリシーを策定しました。

プログラムと対象範囲

対象範囲

Galvanize の脆弱性情報開示プログラムは、策定当初の段階で、以下の製品を対象としています。

  • Diligent ウェブサイト: jp.diligent.com
  • HighBond プラットフォーム
  • Rsam プラットフォーム

Galvanize はさらに製品の開発を進めてまいりますが、セキュリティの専門家の皆様におかれましては一覧に記載される製品の脆弱性情報レポートのみをご提出いただきますようお願いいたします。 新たな製品が開発または更新されることで、今後の対象範囲を広げる場合がありますことをあらかじめご了承ください。

Galvanize は、次の場合に法的手続きを取ることはいたしません。

法的立場

Galvanize は、弊社サポート チームを通じて脆弱性情報レポートを提出する個人に対し、法的手続きを取ることはいたしません。 ただし、現在一覧に記載されている Galvanize 製品のみ対象に脆弱性情報レポートを受け付けいたします。 Galvanize は、次のことを行う個人に対して法的手続きを行わないことに同意いたします。

  • Galvanize または弊社のお客様に損害を与えることなく、システムのテストや調査を行う。
  • 弊社脆弱性情報開示プログラムの対象範囲内において脆弱性のテストを行う。
  • お客様に影響を及ぼすことなく、製品のテストを実施する。
  • 同社および Galvanize が拠点を置く国の法律を守る。
  • 両社で合意した時期が到来する前に脆弱性情報の詳細を公開することを控える。

契約条件

セキュリティの脅威または係る解決策の提案、あるいはその両方について情報(以下、総じて「フィードバック」という)を Galvanize に提出することによって、

  • レポート提出者は、Galvanize のユーザーに損害を与えないよう本ガイドラインに定められる原則の遵守に努め、Galvanize により修正またはパッチ、あるいはその両方が公開される前に Galvanize ソフトウェアまたはプラットフォームの脅威および脆弱性に関する情報の公開をしないことに同意するものとします
  • レポート提出者は、Galvanize がソフトウェアの更新または改善あるいはその両方のためフィードバックを利用することに同意するものとします。また、1) 非排他的、永続的、取り消し不能、世界的、著作権無料のライセンス、そして、2) Galvanize のライセンシーおよび顧客にサブライセンス付与する権利を、Galvanize に付与するものとします。サブライセンス付与を受けた Galvanize のライセンシーと顧客は、関連するすべての知的財産権の下、Galvanize が選択する方法の如何を問わずフィードバックを使用、公開、開示し、ソースを参照することなく Galvanize が選択するメディアを介してさらに方法の如何を問わずフィードバックを反映させた Galvanize とサブライセンシーの製品またはサービスを表示、実行、複製、作成、作成委託、使用、販売および破棄できるものとします。 Galvanize は、レポート提出者またはその代理人あるいはその両方に対して形式を問わず報酬を付与することなく、目的の如何を問わず、また制限なく、フィードバックを使用する権利があるものとします

コミュニケーション メカニズムとプロセス

脆弱性情報の提出方法

Galvanize のサポートチームに脆弱性情報レポートを提出する場合は、 japan_support@wegalvanize.com 宛てにメールでお送りください。

法的拘束力のない選択・優先順位

選択、優先順位と受付条件

Galvanize は、以下の条件を使用して、提出に関する優先順位付けをいたします。


ご提出いただきたいもの:

  • 脆弱性に関してまとめられた英語レポート(※日英翻訳サポートが必要な場合にはご相談下さい)
  • 脆弱性実証コード (proof-of-concept code) を記載したレポート
  • 自動ツールにより出力された内容以上の情報を記載したレポート
  • バグを見つけた方法、可能性のある影響、実施できる可能性のある改善提案を記載したレポート

Galvanize に求めることができるもの:

  • メールに対する遅滞のない回答。
  • 優先順位をつけた後、Galvanize は想定されるタイムラインを提示し、改善タイムラインと、そのタイムラインの遅延に繋がる可能性がある問題や課題に関し、出来る限りの透明性を持たせられるよう、全力を尽くします。
  • 問題について協議する開かれた対話の場。
  • 脆弱性が改善された際の通知。

バージョン管理

本書(v1.1)は 2020 年 6 月に作成されました。[Galvanize は、本ポリシーを年に 1 回以上の頻度で更新または改定します。]