プラットフォーム
Criteo では、製品およびサービスのセキュリティを最優先事項として位置づけています。当社の目標は、お客様およびユーザーに最高の体験を提供し、委託された情報やデータを確実に保護することです。この目的のため、セキュリティ研究者や一般の皆様による責任あるかつ倫理的な形での潜在的な脆弱性の開示を歓迎いたします。本ポリシーは、脆弱性の責任ある開示に対する当社の期待と、その対応プロセスを示すものです。
本ポリシーに従って調査を行っていただければ、 Criteo はその行為を承認したと見なし、法的措置は講じません。
本ポリシーに従って問題をご開示いただいた場合、当社は以下の対応をいたします:
本ポリシーに基づき調査が承認された活動として認められるためには、以下の要件を満たす必要があります:
以下の行為は行わないでください:
脆弱性の存在を確認した場合や、 PII (個人を特定できる情報)、財務情報、またはいずれかの当事者の専有情報や営業秘密などの機密データに遭遇した場合は、直ちにテストを中止し、速やかに当社へ通知してください。また、これらのデータを第三者に開示してはなりません。
本ポリシーは、 Criteo が所有、運営、または維持するすべてのデジタル資産に適用されます。ただし、当社のサブドメイン経由でアクセス可能なサービスや、当社製品と統合されているサードパーティサービスは対象外です。
詳細かつ最新の適用範囲は、 BugCrowd ポリシーをご覧ください。
Criteo は、本ポリシーを遵守し、責任あるかつ倫理的にセキュリティ問題を開示していただいた方に対し、謝意の表明および報酬を提供する場合があります。報奨の有無およびその金額は、脆弱性の重大度、影響度、およびレポートの質など、複数のパラメータに基づき当社の裁量で決定されます。
原則として、報酬額は影響の低い脆弱性の場合は 175 ドルから、最も重大な脆弱性の場合は 4500 ドルまで幅があります。
なお、すべての報酬は BugCrowd 上の当社プライベートプログラムを通じて管理されているので、報酬を受け取るためには BugCrowd アカウントが必要です。
当社のバグバウンティ報酬は BugCrowd を通じてのみ支払われます。潜在的なセキュリティ脆弱性をレポートする際は、詳細な説明と再現手順を含むレポートをこのプラットフォーム上で作成してください。
現在、当社のプライベートバグバウンティプログラムに参加していない場合は、 BugCrowd のハンドルネームを明記の上、 security@criteo.com 宛にメールをお送りください。適格基準を満たしている場合、招待状をお送りいたします。
潜在的なセキュリティ脆弱性を報告するには、詳細な説明および再現手順を含むメールを security@criteo.com までお送りいただく方法もあります。
当社のクライアント企業様の場合、当社ではバグバウンティプログラムに加えて定期的なペネトレーションテストも実施しており、その結果はCriteoの担当者へお問い合わせいただくことでご確認いただけます。
本ポリシーまたは Criteo の情報セキュリティに関してご不明な点がございましたら、security@criteo.com までお問い合わせください。
Criteo のセキュリティ維持にご尽力いただき、誠にありがとうございます。当社の製品やサービスの安全性向上にご協力いただけることに深く感謝申し上げます。