Splashtopの責任ある開示ポリシー

この契約は、異なる言語に翻訳される場合があります。英語版または本書の翻訳版との間に矛盾または矛盾がある場合は、英語版が優先されるものとします。

Splashtop Inc.は、リモートアクセスソフトウェアとサービスのリーディングプロバイダーとして、お客様の安全とセキュリティを確保することに尽力しています。この目的のために、Splashtopは製品の脆弱性報告の受け入れに関するポリシーを公式化しています。私たちはセキュリティコミュニティとのオープンなパートナーシップを育成したいと考えており、コミュニティが行う作業が、すべてのお客様の安全とセキュリティを保証し続ける上で重要であることを認識しています。

私たちは、このポリシーを会社の価値観を反映し、善意のセキュリティ研究者が提供してくれる専門知識に対する法的責任を果たすために策定しました。

法的立場

Splashtop Inc. は、脆弱性報告フォームを通じて脆弱性報告を行った個人に対して法的行動をとることはありません。現在リストされているSplashtop製品に関する報告をオープンに受け付けています。法的行動を起こさないことに同意します：

• Splashtopまたはその顧客を害することなく、システム/研究のテストに従事する

• 脆弱性開示プログラムの範囲内での脆弱性テストに参加する

• ユーザーデータに誤ってアクセスしてしまった場合は、直ちにSplashtopに連絡してください。データを表示、変更、保存、転送、またはその他の方法でアクセスせず、Splashtopに脆弱性を報告した際にローカル情報をただちに消去してください。

• Splashtopの所在地及び自分の所在地の法律を遵守してください。例えば、Splashtopが(刑事請求ではなく)請求を行う結果となる法律の違反は、Splashtopがシステム改善のためにその行為(逆アセンブルや保護措置の回避)を許可している場合、許容されることがあります。

• 合意された時間枠が過ぎる前に脆弱性の詳細を公開しないこと。

設定, Prioritization, and Acceptance Criteria

提出物を優先してトリアージするために、以下の基準を使用します。

私たちがあなたに期待すること:

• 英語でよく書かれた報告は、解決の可能性が高くなります。

• 概念実証コードを含む報告は、トリアージをより良く進めることができます。

• クラッシュダンプや他の自動化されたツールによる出力のみを含む報告書は、優先度が下がる可能性があります。

• 初期のスコープリストに含まれていない製品を含むレポートは優先順位が低くなる場合があります。

• バグの発見方法、影響、及び潜在的な修正方法を含めてください。

• セキュリティの脆弱性を開示するために私たちと協力したい場合は、ご連絡ください。可能な限り、脆弱性を開示する際には誠実に対応いたします。

私たちから期待できること：

• 提出がトリアージされた時点から3営業日以内にフィードバックを受け取ります。

• トリアージ後には、予想されるタイムラインを送信し、修復のタイムラインおよびそれを延長する可能性のある問題または課題について可能な限り透明性を持つことを約束します。

• 問題を話し合うためのオープンダイアログ。

• 脆弱性分析の各段階が完了した際に通知。

通信問題またはその他の問題が解決できない場合、Splashtopは中立な第三者（CERT/CC、ICS-CERT、または関連する規制当局など）を導入して、脆弱性の取り扱い方法を決定する場合があります。

脆弱性の提出方法

Splashtopの製品セキュリティチームに脆弱性レポートを提出するには、次の情報を記入してください: