概要

インターネットセキュリティでは、独立したセキュリティ調査員が貴重な役割を果たします。そのため、当社は、当社のサイトまたはアプリケーションで見つかる可能性のある脆弱性について責任を持って報告することを奨励しています。Salesforce は、セキュリティ調査員と協力して、報告された潜在的脆弱性の確認および解決に取り組んでいます。

責任ある開示の一環として、Salesforce は、問題を公開して Common Vulnerabilities and Exposures (CVE®) をリリースする前に、お客様が脆弱性を解決したり他の修正措置を講じたりする必要がある場合、影響を受ける可能性のあるお客様に通知します。

脆弱性のテストや報告を行う前に、これらの条件を確認してください。Salesforce は、調査員が本ポリシーに従っている限り、当社のシステムに侵入または侵入を試みたとして調査員に対して法的措置を起こさないことを保証します。

皆様に感謝を申し上げます!

当社の最大の価値としての信頼を共有していただいた皆様に感謝を申し上げます。Salesforce の全体的なセキュリティ体制の改善に貢献していただいた皆様のリストをご確認ください。.

セキュリティ調査に貢献していただいた皆様のリストを参照する >

当社のポリシーについて

  • トライアルまたは Developer Edition が利用できる場合、必ずこうしたインスタンスですべての脆弱性テストを実行してください。当社のオンラインサービスをテストする場合、必ずテストアカウントまたはデモアカウントを使用してください。セキュリティ評価、要件、制限、スケジュール設定についての詳細は、「脆弱性評価および侵入テスト」を参照してください。

  • Salesforce セキュリティチームが問題を検証して再現できるように、疑わしい脆弱性の詳細を Salesforce セキュリティチームに直接お知らせください

  • 当社はお客様が責任ある態度で脆弱性を発見して当社に報告することを奨励していますが、以下の行為は明示的に禁止とします。

    • Salesforce またはそのユーザに悪影響を及ぼす可能性のある行為を行う調査 (たとえば、スパム、しらみつぶし、サービス拒否など)。
    • 自分自身の所有ではないデータまたは情報にアクセス、またはアクセスを試みる調査。
    • 自分自身の所有ではないデータまたは情報の破壊または改ざん、あるいは、破壊または改ざんを試みる調査。
    • Salesforce の従業員、資産、またはデータセンターに対して物理的または電子的な攻撃を行う調査。
    • Salesforce サービスディスク、従業員、契約業者のソーシャルエンジニアリングを行う調査。
    • テストアカウント以外を使用して参加サービスの脆弱性テストを行う調査 (たとえば、Developer Edition またはトライアルエディションのインスタンス)。
    • 脆弱性を発見するために法律または契約事項を犯す調査。
  • 未解決の脆弱性を第三者に知らせたり公開したりしないようお願いいたします。お客様が責任を持って脆弱性報告を送信していただいた場合、Salesforce セキュリティチームおよび関連する開発組織は以下を実現するために合理的な努力をいたします。

    • 直ちに返信し、お客様から脆弱性報告を受け取ったことをお知らせいたします。
    • 報告された脆弱性を解決するためにかかると予測される期間を提示します。
    • 脆弱性が解決された際にお客様にお知らせいたします。

セキュリティの懸念事項の報告

Salesforce は SaaS (Software-as-a-Service) および PaaS (Platform-as-a-Service) のリーディングプロバイダとして、環境とお客様のデータを保護するための標準の策定に取り組んでいます。セキュリティの懸念事項を報告して当社と連携してください。

懸念事項を報告する