目的
当社の最優先事項は、お客様のセキュリティと機密性を確保することです。
当社は可能な限りクリーンなコードを書き、徹底したテストを実施するよう努めていますが、最大限の努力を払ってもなお、サービス内に脆弱性が残る可能性があります。
そのため、発見された脆弱性については、どなたでもご報告いただくことを推奨します。
Brevo は報告を受け次第、可能な限り迅速に対応するよう努めます。再度ご連絡をいただく前に、数日間のご猶予をお願いいたします。
Brevo のセキュリティチームへのご連絡および脆弱性報告の推奨手段は、
次のメールアドレスへの送信です:[email protected]
開示ポリシー
脆弱性報告を行う際は、以下の原則を遵守してください:
- 法律を遵守し、いかなる場合も違法行為を行わないこと
- 当社サービスへの DDoS攻撃、その他の妨害・中断・劣化を行わないこと
- 当社または顧客に対し ソーシャルエンジニアリング行為を行わないこと
- スパムやフィッシング攻撃を行わないこと
- Brevo または顧客のデータを危険にさらさないこと
- データを恒久的に変更または削除しないこと
- 適用される刑事法その他の法令を遵守すること
ガイドライン
ご提出いただく報告(できれば英語で)は、以下の情報を含めてください:
- 脆弱性の明確な説明と証拠(ログ、スクリーンショット、レスポンス等)
- 問題を再現するための詳細な手順
- 関連するプラットフォーム・OS・バージョン情報
- 関連するIPアドレスまたはURL
- 取得した補足証拠(ログ、トレース等)
- 問題の悪用可能性または影響度の評価
- ご自身の連絡先情報
当社が検証を行えるよう、可能な限り多くの証拠を保持してください。
これらの情報を含めることで、当社は迅速かつ正確に対応しやすくなります。
次のような報告には対応いたしかねます:
- すでに公開情報となっている脆弱性
- 当社システムと関係性のない一般的な脆弱性報告
- HTTPセキュリティヘッダーの欠如のみを指摘する報告
- 古い・未更新のブラウザやOSでのみ発生する脆弱性
- 当社システムを対象としない自動スキャン結果の報告
本プログラムは バグ報奨金制度(Bug Bounty Program)ではなく、
金銭的な報酬は提供しておりません。
発見された脆弱性や検証に費やした時間・リソースに対する報酬・補償の要求はご遠慮ください。
倫理的行動規範に従ってご協力をお願いいたします。
機密保持ポリシー
当社システムおよびユーザーデータに関するすべての情報は、厳重に機密として取り扱い、公開しないでください。
これは、Brevo がその情報を事前に把握していたかどうかに関わらず適用されます。
当社は、セキュリティ上の問題を責任を持って報告してくださるセキュリティ研究者の皆様のご協力に深く感謝いたします。
インターネットをより安全で健全な場にするために、ご協力いただきありがとうございます。