責任ある開示ポリシー

DFDSでは、ITセキュリティの確保を最優先しています。このドキュメントでは、セキュリティの脆弱性を開示する場合のセキュリティ手順と一般的なポリシーについて説明します。脆弱性をDFDS（以下「当社」）に報告することを検討している場合は、報告する前にこの脆弱性開示ポリシーの内容を確認しておいてください。

本ポリシーに従ってセキュリティの脆弱性を報告してくださることに対し深く感謝いたしますが、当社では脆弱性情報の開示に対して金銭的な報酬は提供しておりませんので、あらかじめご了承ください。

セキュリティ上の脆弱性を発見したと思われる場合は、メールアドレス security@dfds.com にレポートを送信してください。

レポートには以下の情報を含めてください。

• 脆弱性が確認できるWebサイト、Gitリポジトリ、IPアドレス、またはページ。

• 脆弱性の種類の簡単な説明（「XSSの脆弱性」など）。

• 開示内容を再現するための手順。

テストの実施に際しては、システムに悪影響を与えない範囲で、または概念実証として行ってください。

ご提供いただいた情報は、レポートを迅速かつ正確にトリアージするのに役立てられます。

ご報告を受領後、5営業日以内にご連絡を差し上げ、15営業日以内に優先度の判定を完了する予定です。進捗状況については適宜お知らせいたします。対応の優先度は、影響度、深刻度、エクスプロイトの複雑さに基づいて判断されます。状況についてお問い合わせいただくことは可能ですが、チームが対応に集中できるよう、14日以上の間隔を空けていただくようご協力をお願いいたします。

報告された脆弱性の修正が完了次第、ご連絡いたします。また、修正内容が適切かどうかの確認をお願いする場合があります。脆弱性が解決された後は、報告内容の開示リクエストも受け付けています。影響を受けるユーザーへの案内を統一するため、公開にあたっては引き続き当社と調整をお願いいたします。

以下を行うことは禁止されています。

• 適用される法律または規制に違反すること。

• 不必要、過剰、または大量のデータにアクセスすること。

• 当社のシステムまたはサービス内のデータを変更すること。

• 脆弱性を見つけるために、高強度で侵襲的または破壊的なスキャンツールを使用すること。

• サービスへの大量リクエスト送信など、形式を問わず、サービス拒否攻撃（DoS）を試みたり報告したりすること。

• 当社のサービスまたはシステムを妨害すること。