Vulnerability Disclosure Policy

引言

Criteo对产品及服务的安全性极为重视。我们的目标是为客户和用户提供最佳体验，并确保委托我们处理的信息和数据得到可靠保障。因此，我们欢迎安全研究人员和公众以负责任且合乎道德的方式披露潜在安全漏洞。本政策概述了我们对负责任漏洞披露的期望标准以及相应的处理流程。

授权

如果您在研究过程中遵守本政策，Criteo将视您的行为为已获授权，且不会对您采取法律行动。

承诺

当您按照本政策向我们披露问题时，我们将承诺：

• 在3个工作日内回复您的报告，并与您一起分析和解决问题
• 尽快采取行动修复报告中指出的漏洞，但相关漏洞属于我们认可的可接受风险情况除外
• 及时向您通报问题解决的进展情况
• 对您以及您所披露漏洞的相关信息严格保密，与您另有约定的情况除外
• 按照奖励部分的规定，给予您相应奖励

指南

为确保您的研究符合本政策规定的授权活动，您必须遵守以下要求：

• 本着诚信原则行事，避免以损害Criteo或我们客户利益的方式滥用系统及应用程序
• 一旦发现实际或潜在的安全问题，请立即通知我们
• 仅在我们部署修复措施并经双方协商一致后，方可公开披露相关问题。协商内容需包含披露时间及相关细节程度

同时，您不得从事以下行为：

• 访问、修改或删除不属于您自行创建的账户的数据
• 使用高强度的侵入性或破坏性工具
• 提交大量低质量报告（例如直接粘贴扫描仪结果）
• 采用以下任一测试方法：
  • 网络拒绝服务（DoS或DDoS）测试，或其他可导致系统或数据访问受阻/受损的测试
  • 物理测试（例如：进入办公室、开门、尾随而入）
  • 社会工程学测试（例如：网络钓鱼、语音钓鱼）或其他任何非技术性漏洞测试
• 未经Criteo事先书面授权，不得向任何第三方披露您的发现
• 利用漏洞攻击工具破坏或窃取数据、建立持久的命令行访问权限，或横向渗透至其他系统。漏洞攻击工具仅应在确认漏洞存在时限于必要范围内使用。如有疑问，请向我们报告证实。

一旦确认漏洞存在或接触任何敏感数据（包括个人身份信息、财务信息或任何一方的专有信息或商业机密），必须立即停止测试、第一时间通知我们，同时不得向他人披露相关数据。

范围

本政策适用于Criteo所拥有、运营或维护的所有数字资产，但不包括可通过我们任何子域名访问或集成到我们产品中的第三方服务。

详细且最新的适用范围详见我们的BugCrowd政策。

奖励

Criteo可对依照本政策负责任且合乎伦理地向我们披露安全问题的人员给予认可与奖励。奖励金额（如有）将由我们基于漏洞的严重程度、影响及报告质量等因素自行决定。

一般而言，奖励金额为175美元至4500美元不等，即低风险漏洞的奖励金额为175美元，而严重程度最高的漏洞的奖励金额则可达4500美元。

请注意，所有奖励均通过我们的BugCrowd非公开计划处理，因此必须拥有BugCrowd账户才能领取奖励。

漏洞报告

我们的漏洞赏金奖励仅通过BugCrowd支付。如报告潜在的安全漏洞，请在该平台上创建一份报告，其中需详细描述漏洞细节，并附上重现您发现情况的步骤。

如果您目前尚未加入我们的非公开漏洞赏金计划，可发送邮件至security@criteo.com的方式联系我们，请在邮件中提供您的BugCrowd 账户名；如果符合我们的资格要求，我们将向您发送邀请。

如报告潜在的安全漏洞，亦可发送邮件至security@criteo.com的方式联系我们，请在邮件中详细描述漏洞细节，并附上重现您发现情况的步骤。

客户

如果您是我们的客户，请注意，除了我们的漏洞赏金计划外，我们还会定期进行渗透测试。测试结果您可以向您的Criteo联系人提出申请获取。

问题

如果您对本政策或Criteo的信息安全方面有任何疑问，请发送邮件至security@criteo.com与我们联系。

感谢您为维护Criteo安全所付出的努力。我们谨此致谢您的倾力相助，让我们共同提升产品与服务的安全性。