開示責任

脆弱性にお気づきの場合はお知らせください。

Pon Holdings B.V.およびその子会社では、当社のシステムおよびネットワークのセキュリティを必然的な最優先事項であると考えています。当社ではクライアント、サプライヤーおよび従業員から得た信頼を維持するためには、優れたセキュリティが不可欠であると確信しています。しかしながら、当社システムのセキュリティに対する細心の注意にも関わらず、脆弱性が発見される可能性は依然として存在します。

当社の責任ある開示ポリシーに基づき、脆弱性を発見された場合には、当社で適切な対策を講じることができよう、可能な限り早急にご報告いただけるようご協力をお願いいたします。脆弱性を解消すべく、解決まで共同で取り組まさせていただきます。当社では既に自社でネットワークを監視しており、当社の責任ある開示ポリシーは、脆弱性を発見すべく当社のネットワークを積極的に詳細にスキャンすることを奨励するものではありません。

以下の点についてご協力をお願いいたします:

  • 発見された内容について、可能な限り早急にrd@pon.com宛てにご報告ください。送信される際に暗号化を希望される場合は、電子メールでその旨をお知らせいただければ、その方法についてご案内します。
  • 脆弱性について早急に解決できるよう、脆弱性を再現するのに十分な情報をご提供ください。通常は、影響を受けたシステムのIPアドレスまたはURLと脆弱性に対する説明のみ十分ですが、より複雑な脆弱性の場合にはその他の情報が必要になる可能性があります。
  • データをダウンロード、表示、削除または編集するなど、脆弱性を悪用する行為はしないでください。
  • 当社で解決できるまで、脆弱性について他者と共有しないでください。誤って機密情報を入手してしまった場合は、早急にデータを削除してください。
  • 物理的なセキュリティまたはサードパーティアプリケーションに対する攻撃、ソーシャルエンジニアリング、分散型サービス妨害(DDoS)、スパム、または脆弱性スキャナーなどのハッキングツールを使用しないでください。

 

当社では以下に取り組みます:

  • ご報告いただいた件について常に真剣に受け止めます。また、疑わしい脆弱性があれば調査します。
  • 報告いただいた件に対する当社の評価と解決までにかかる日数を含めた返答を5営業日以内に送信します。
  • 脆弱性を解消するにあたり、何か進展があればご報告します。
  • 上記に規定されている条件に順守されている場合、報告いただいた当人に対して、報告の件に関連する法的措置を当社が取ることはありません。補足の調査が必要かどうかは検察庁が決定する権利を保持します。
  • ご報告いただいた件については機密扱いとし、報告者からのデータについて警察または裁判所から要求された場合など法律で要求された場合を除き、報告者からの許可を得ることなく報告者の個人データをサードパーティと共有することはありません。
  • 匿名で報告された場合、その後の手順や、脆弱性の解決に進展があった時の情報について、報告者に連絡できない場合があります。
  • 感謝の意として、当社から最大€50までの金額を進呈する場合があります。この金額は、脆弱性の重大度やご報告いただいた件の質に基づきます。
  • ご要望があれば、事例に関してやりとりを行う際に、脆弱性を発見した人物として発見者の名前を提示することもできます。
  • 脆弱性の発見後は可能な限り迅速に分析し、必要に応じて解決するよう努めます。また、すべての利害関係者には問題に関する情報を継続的に提供します。

 

本責任ある開示ポリシーは、National Cyber Security Centreが発行するResponsible Disclosure Guideline(責任ある開示のガイドライン)と、Floor Terraが作成したサンプルのResponsible Disclosure(責任開示)に基づいています。