Responsible Disclosure Policy (beleid voor verantwoorde openbaarmaking)

Bij Salesforce is vertrouwen enorm belangrijk. We werken samen met onze klanten, partners en de branche om iedereen in de cloud als één geheel sterker te maken.

Image

Overzicht

Onafhankelijke beveiligingsonderzoekers spelen een belangrijke rol in internetbeveiliging. Als gevolg hiervan zijn we voorstander van verantwoorde rapportage over alle zwakke plekken die op onze site of in onze toepassingen mogelijk worden aangetroffen. Salesforce blijft toegewijd aan samenwerking met veiligheidsonderzoekers en verifieert en verhelpt alle gemelde potentiële zwakke plekken die aan ons worden gemeld.

Als onderdeel van verantwoorde bekendmaking brengt Salesforce mogelijk beïnvloede klanten op de hoogte als ze actie moeten ondernemen om zwakke plekken te verhelpen of anderszins iets moeten wijzigen voordat het probleem openbaar wordt gemaakt en er een Common Vulnerabilities and Exposures (CVE®) wordt vrijgegeven.

Neem de volgende voorwaarden door voordat u een zwakke plek test en/of meldt. Salesforce belooft dat er geen juridische stappen worden ondernomen tegen onderzoekers wegens het binnendringen of één of meerdere pogingen tot binnendringen van onze systemen zolang zij zich aan dit beleid houden.

Image
Image

Bedankt, bijdragers!

We waarderen iedereen die vertrouwen ook op nummer 1 zet. Bekijk de lijst met klanten en gebruikers die ons hebben geholpen onze algehele beveiliging bij Salesforce te verbeteren.

Meer informatie over ons beleid

  • Testen op zwakke plekken in de beveiliging

    Wanneer er een Trial of Developer Edition beschikbaar is, voert u alle kwetsbaarheidstests op dergelijke zwakke plekken uit. Gebruik altijd test- of demo-accounts bij het testen van onze online services. Voor meer informatie over beveiligingsbeoordelingen, vereisten, beperkingen en planning bekijkt u onze kwetsbaarheids- en doordringingstest.  Lees het Help-artikel 

  • Een potentiële zwakke plek in de beveiliging melden

    Geef de volledige details van de vermoedelijke zwakke plek zodat het beveiligingsteam van Salesforce het probleem kan valideren en reproduceren. E-mailbeveiliging van Salesforce 

  • Salesforce geeft geen toestemming voor de volgende typen veiligheidsonderzoek

    Hoewel wij er voorstander van zijn dat u alle zwakke plekken ontdekt en aan ons meldt (die u op een verantwoorde manier ontdekt) zijn de volgende methoden expliciet verboden:

    • Het uitvoeren van acties die een negatieve invloed (kunnen) hebben op Salesforce of de gebruikers ervan (bijv. spam, Brute Force, Denial of Service...)
    • Het (proberen te) openen van gegevens of informatie die niet aan u toebehoren
    • Het (proberen te) vernietigen, corrumperen of verminken van gegevens of informatie die niet aan u toebehoren
    • Het uitvoeren van elke vorm van fysieke of elektronische aanval op Salesforce-personeel, -eigendom of -gegevenscentra
    • Het uitoefenen van "social engineering" op elke Salesforce-servicedesk, -medewerker of -contractant
    • Het uitvoeren van tests op zwakke plekken (kwetsbaarheid) van deelnemende services met behulp van andere dan testaccounts (bijv. Developer of Trial Edition-exemplaren)
    • Het schenden van de wet of het zich niet houden aan overeenkomsten om zwakke plekken te ontdekken
  • De belofte van het Salesforce-beveiligingsteam

    Wij vragen u om een nog niet verholpen zwakke plek niet te delen met of openbaar te maken aan derden. Als u op een verantwoorde wijze een kwetsbaarheidsrapport indient, zullen het Salesforce-beveiligingsteam en daaraan verwante ontwikkelingsorganisaties alle redelijke inspanningen doen om:

    • Op een tijdige manier te reageren, waarbij de ontvangst van uw kwetsbaarheidsrapport wordt bevestigd
    • Een geschat tijdsbestek te geven voor de behandeling van uw kwetsbaarheidsrapport
    • U een kennisgeving te sturen wanneer de zwakke plek is verholpen