Skip to main content Skip to login Skip to order status

責任ある情報開示

はじめに

電子クレデンシャル交換のマーケットリーダーである Parchment は、世界中の生涯学習者がクレデンシャルを 機会に変えられるよう支援することに専心しています。ミッション主導の組織として、当社はこの責任を真摯に受け止め、学習者および会員データの善良な管理者となることを約束し、データの安全性、プライバシー、機密性、完全性および可用性を確保するために、あらゆる合理的かつ適切な対策を講じることを約束します。当社は、当社のアプリケーションに潜在的な改善点や脆弱性が見つかった場合、責任を持って報告することを奨励しています。脆弱性を調査または報告する前に、本ガイドラインをご確認ください。このプログラムは、パーチメントのすべての製品およびサービスを対象としています。このポリシーは Parchment のシステムおよび製品との直接のやりとりにのみ適用されます。他の事業体や他の第三者のシステムや製品に代わってセキュリティ調査を行うことはできませんし、許可することもありません。

ガイドライン

  • システムにマルウェアを持ち込まない
  • 当社のシステムに変更を加えないでください。
  • 脆弱性の悪用を含め、他人のデータや個人情報へのアクセスを試みてはなりません。テスト中に他人のデータまたは個人情報とやりとりしたり、他人のデータまたは個人情報へのアクセスを取得した場合は、次のことを行わなければなりません:
    • 直ちにテストを中止し、潜在的な脆弱性に関連するデータまたは個人情報に関わる活動を中止すること。
    • データまたは個人情報を保存、コピー、保管、転送、開示またはその他の方法で保持しないでください。
    • 直ちに羊皮紙に警告を発し、我々の調査と被害軽減の努力を支援すること。
  • 不正な金融取引を開始しない
  • Parchment LLC および Parchment LLC の子会社、顧客データを保存、共有、危殆化、破棄しないこと。
  • 脆弱性の発見時に使用されたターゲット、ステップ、ツール、アーティファクトを含む、脆弱性の詳細な要約を提供すること(詳細な要約により、脆弱性を再現できるようになる)
  • お客様のプライバシーや安全、および当社サービスの運営を損なわないこと。
  • 国、州、または地域の法律や規制に違反しないこと。
  • パーチメントの書面による許可なく、脆弱性の詳細を公にしないこと。
  • 羊皮紙のリソース(羊皮紙が所有するIPドメインなど)に自動スキャンを展開しないこと
  • キューバ、イラン、北朝鮮、スーダン、シリア、クリミア、またはその他の制裁対象国に居住していないこと。
  • 米国政府の制裁対象者リスト(特別指定国民リストを含む)に掲載されていないこと。
  • パーチメントまたはその子会社の従業員、または従業員の近親者でないこと、または過去6ヶ月以内に従業員であったことがないこと。
  • あなたは現在も過去も、羊皮紙のベンダーまたは請負業者ではありません。
  • パーチメント社から要請があった場合、緩和策の有効性のテストに参加し、調査結果の開示/公開/公表を調整することに同意すること。
  • 18歳以上であること

範囲外

サードパーティのプロバイダやサービスによってホストされているサービスは、対象範囲から除外されます。当社のユーザー、スタッフ、インターネット全体、およびセキュリティ研究者としてのあなたの安全のために、以下のテストタイプは対象から除外されます:

  • オフィスへの出入り(例:開けっ放しドア、尾行)などの物理的検査による所見
  • 主にソーシャル・エンジニアリング(フィッシング、ヴィッシングなど)に由来する調査結果
  • スコープ」セクションに記載されていないアプリケーションまたはシステムからの調査結果
  • UIとUXのバグとスペルミス
  • ネットワークレベルのサービス拒否(DoS/DDoS)の脆弱性
  • ブルートフォース攻撃
  • サードパーティのバグや欠陥

セキュリティの脆弱性を報告するには?

当社の製品またはプラットフォームにセキュリティの脆弱性を発見された場合は、下記までご連絡ください。 security@parchment.com. Please include the following details with your report:

  • パーチメントの製品名または技術名
  • 脆弱性の潜在的影響
  • 脆弱性の場所と潜在的影響の説明
  • 脆弱性を再現するために必要な手順の詳細な説明(POCスクリプト、スクリーンショット、および/または圧縮されたスクリーンキャプチャを含む)

私たちが受け取りたくない詳細:

  • 個人を特定できる情報
  • クレジットカード保有者データ
  • 成績証明書またはその他の資格データ
  • あなたの発見の詳細を電子メールで送信しないことを選択した場合は、下記までご連絡ください。 security@parchment.com までご連絡ください。脆弱性報告書を安全に送信する方法を特定するために協力いたします。

羊皮紙へのこだわり

潜在的な脆弱性の報告書が提出された場合、本ポリシーに規定されているすべての適用可能なガイドラインを遵守することを条件として、パーチメントのセキュリティチームおよび関連する開発組織は、以下のことに合理的な努力を払います:

  • 提出物の受領を確認し、タイムリーに回答すること。
  • 報告された潜在的脆弱性に対処するための推定期間を提示すること。
  • パーチメントの方針は、パーチメントが独自の裁量で重要であると判断した脆弱性については、パーチメントがその脆弱性を確認した日から90日以内に対処することです。
  • 脆弱性修正時に通知
  • 当社のシステムとプログラムの有効性を継続的に評価する。