セキュリティ開示ポリシー

このドキュメントを英語で読むにはこちら

こちらのセキュリティ開示ポリシーは、合同会社LaLoka Labs及びLaLoka Labs OÜにて運営しています。

LaLoka Labsでは、システムのセキュリティを最優先事項として考えています。 しかしながら、現実ではシステムセキュリティにどれだけの努力を払っても、脆弱性が存在する可能性があります。 脆弱性を発見した場合は、以下のガイドラインに従ってセキュリティチームに報告していただければと思います。

こちらのポリシーは、以下掲載しているサービスのみ適用してます。

脆弱性をテストまたは報告するときは、以下のガイドラインに従っていただければと思います。

  • 脆弱性を実証するために必要な量よりも多くのデータをダウンロードするなどして、発見した脆弱性を利用しないでください。
  • 自分のものではないデータを読み取ったり、変更したり、削除したりしないでください。
  • 脆弱性を修正できるままで、第三者に開示しないでください。
  • このポリシーの範囲は、当社のサービスの技術的な脆弱性に限定されています。 物理的セキュリティをテストしたり、従業員に対してフィッシング攻撃を試みたりしないでください。
  • 当社のサービスの利用者に影響が懸念されているため、DoS攻撃を実行したり、ブラックハットSEO技術を利用したり、スパムを送信したり、その他の同様に疑わしいことを行わないでください。 また、大量のトラフィックを自動的に生成する脆弱性テストツールの使用はお勧めしません。
  • 永続的なペイロードやXSSなどを残さないでください。 代わりに、無害なペイロードを使用し、あなたが何をしているかの記録を残し、あなたがとった行動で他人への影響を最小限にして、クリーンアップも忘れなく行ってください!
  • 脆弱性の報告に対する報酬の請求はご遠慮ください。 ご希望の場合は、責任ある開示を公表することは可能です。

当社はお約束できることとして

  • 3営業日以内に、いただいた脆弱性レポートの評価と解決予定日をお知らせします。
  • 上記のガイドラインに従った場合、当社は報告に関してあなたに対していかなる法的措置も講じません。
  • 脆弱性を修正する進捗状をお知らせします。
  • 報告をだしていただいた皆様のご協力に感謝することとともに、このページの下に名前とウェブサイトなどへのリンクを掲載させていただきます。

当社のサービスを安全に保つためのセキュリティ研究者の努力に心から感謝します。

作成 2021-10-28
更新 2022-04-27