INMAGINE セキュリティ情報公開ポリシー
当社は、システムのセキュリティ、ユーザー、貢献者、クライアント、顧客のセキュリティを重視しています。セキュリティの脆弱性を開示することで、ユーザーのセキュリティとプライバシーを確保します。
お客様がウェブサイトに訪問しセキュリティ上の問題に気づいた場合、当社はすべての調査担当者に下記のことを要求します:
セキュリティバグによりINMAGINEまたはINMAGINEユーザーに関する情報を発見したり収集したりした場合、その情報は機密情報であり、当社に関連したものにのみ使用されるものとします。他のユーザーの個人情報へのアクセス、INMAGINEユーザーに悪影響を及ぼす可能性のある行為は固く禁じられています。お客様は、INMAGINEの書面による事前の同意なしに、お客様の投稿に関する情報やINMAGINEのサイトを調査する際に入手した情報を含むが、これに限定されない機密情報を使用、開示、配布することはできません。
ユーザー、スタッフの安全のため、以下の行為はご遠慮ください:
お客様がこれらのガイドラインに従って直ちに当社に報告した場合、当社は以下のことを約束します:
セキュリティの脆弱性を報告するには?
私たちは、すべての技術にはバグが含まれている可能性があり、一般の方々がこれらのバグを特定する上で重要な役割を果たしていると考えています。当社の製品またはプラットフォームのいずれかにセキュリティの脆弱性を発見したと思われる場合は、直ちに patrick@123rf.com まで電子メールでご連絡ください。報告書には以下の詳細を記載してください:
CVSS 3.1で6以上の深刻度に基づいた報告を受け付けます。最終的な深刻度は、報告された脆弱性が我々のドメインに与える影響を反映するため調整される場合があります。
CVSS 3.1 のスコアリングの詳細はこちらをご覧ください: https://www.first.org/cvss/calculator/3.1
*.123rf.com
*.pixlr.com
*.designs.ai
脆弱性を報告する際には、攻撃シナリオ/悪用可能性、バグのセキュリティへの影響を考慮しなければなりません。以下の課題については、本プログラムの対象外とし、攻撃の種類を問わず受け付けません:
インマジンは、本バグバウンティプログラムおよびそのポリシーを、事前の通知なしに、いつでも変更または中止する権利を有します。
したがって、インマジンは、本規約および/またはそのポリシーを、インマジンのウェブサイト上に修正版を掲載することにより、いつでも修正することができます。本規約が変更された後も、バグバウンティプログラムへの参加を継続した場合、変更された規約に同意したものとします。
ガイドライン
お客様がウェブサイトに訪問しセキュリティ上の問題に気づいた場合、当社はすべての調査担当者に下記のことを要求します:
- セキュリティテスト中のプライバシー侵害、ユーザーエクスペリエンスの低下、製品システムの混乱、データの破壊を避けるためにあらゆる努力を行ってください。
- 脆弱性情報を当社に報告するため、特定のコミュニケーションチャネルを使用してください。
- 発見した脆弱性に関する情報は、当社が問題を解決するために必要な[90]日を経過するまで、ご自身とINMAGINEの間で機密保持ください。
機密保持
セキュリティバグによりINMAGINEまたはINMAGINEユーザーに関する情報を発見したり収集したりした場合、その情報は機密情報であり、当社に関連したものにのみ使用されるものとします。他のユーザーの個人情報へのアクセス、INMAGINEユーザーに悪影響を及ぼす可能性のある行為は固く禁じられています。お客様は、INMAGINEの書面による事前の同意なしに、お客様の投稿に関する情報やINMAGINEのサイトを調査する際に入手した情報を含むが、これに限定されない機密情報を使用、開示、配布することはできません。
ユーザー、スタッフの安全のため、以下の行為はご遠慮ください:
- スパム行為。
- INMAGINEのスタッフ、契約者、顧客に対するソーシャルエンジニアリング(フィッシングを含む)。
- INMAGINEの財産またはデータセンターに対する物理的な攻撃。
- 暗号解読。
- お客様のものではないデータや情報へのアクセス、またはアクセスを試みること。
- お客様の所有物ではないデータや情報を破壊、破損させる行為、または破壊、破損を試みる行為。
- サービス拒否 (DoS/DDoS) 状態を引き起こしたり、引き起こそうとしたりすること。
お客様がこれらのガイドラインに従って直ちに当社に報告した場合、当社は以下のことを約束します:
- 当社のシステム内で脆弱性を発見しようとしたセキュリティ調査員がこのポリシーを遵守する場合、当社は法的措置を取らないことを約束します。
セキュリティの脆弱性を報告するには?
私たちは、すべての技術にはバグが含まれている可能性があり、一般の方々がこれらのバグを特定する上で重要な役割を果たしていると考えています。当社の製品またはプラットフォームのいずれかにセキュリティの脆弱性を発見したと思われる場合は、直ちに patrick@123rf.com まで電子メールでご連絡ください。報告書には以下の詳細を記載してください:
- 脆弱性の場所と潜在的な影響の説明。
- 脆弱性を再現するために必要な手順の詳細な説明(POCスクリプト、スクリーンショット、圧縮された画面キャプチャーはすべて参考となります)。
- 氏名/ハンドルネーム
資格
CVSS 3.1で6以上の深刻度に基づいた報告を受け付けます。最終的な深刻度は、報告された脆弱性が我々のドメインに与える影響を反映するため調整される場合があります。
CVSS 3.1 のスコアリングの詳細はこちらをご覧ください: https://www.first.org/cvss/calculator/3.1
対象範囲
*.123rf.com
*.pixlr.com
*.designs.ai
範囲外
脆弱性を報告する際には、攻撃シナリオ/悪用可能性、バグのセキュリティへの影響を考慮しなければなりません。以下の課題については、本プログラムの対象外とし、攻撃の種類を問わず受け付けません:
- サービス妨害攻撃<
- スパム、ソーシャルエンジニアリング、電子メールのフィッシング技術(フィッシング、ビッシング、スミッシングなど)
- メールスプーフィング
- クライアント側のセキュリティ上の脆弱性(ブラウザ、プラグインなど)
- ソフトウェアのバージョン開示
- 反映されたファイルのダウンロード
- 物理的なアクセスの問題
- 公開されているページ
- 直接的な脆弱性につながらない弱点や情報の開示
- メールまたはアカウントの羅列
- CSVコマンドの実行とCSPの弱点
- 第三者のアプリやウェブサイトの脆弱性は、一般的に当社のプログラムの範囲外となります。
規約の変更
インマジンは、本バグバウンティプログラムおよびそのポリシーを、事前の通知なしに、いつでも変更または中止する権利を有します。
したがって、インマジンは、本規約および/またはそのポリシーを、インマジンのウェブサイト上に修正版を掲載することにより、いつでも修正することができます。本規約が変更された後も、バグバウンティプログラムへの参加を継続した場合、変更された規約に同意したものとします。