脆弱性開示ポリシー

Criteo では、製品およびサービスのセキュリティを最優先事項として位置づけています。当社の目標は、お客様およびユーザーに最高の体験を提供し、委託された情報やデータを確実に保護することです。この目的のため、セキュリティ研究者や一般の皆様による責任あるかつ倫理的な形での潜在的な脆弱性の開示を歓迎いたします。本ポリシーは、脆弱性の責任ある開示に対する当社の期待と、その対応プロセスを示すものです。

承認

本ポリシーに従って調査を行っていただければ、 Criteo はその行為を承認したと見なし、法的措置は講じません。

Criteo のコミットメント

本ポリシーに従って問題をご開示いただいた場合、当社は以下の対応をいたします:

  • 報告には 3 営業日以内に回答し、内容を十分に把握したうえで、問題の解決に向けて連携して対応します
  • 報告された脆弱性について、弊社が許容するリスクに該当する場合を除き、できる限り早急に対策を講じます
  • 問題の解決状況について、随時ご報告いたします。
  • 別途合意がない限り、お客様ご本人およびご報告いただいた脆弱性に関する情報は、機密情報として取り扱います
  • 報酬セクションに記載された内容に従い、報奨を提供します

ガイドライン

本ポリシーに基づき調査が承認された活動として認められるためには、以下の要件を満たす必要があります:

  • 誠実に行動し、 Criteo または Criteo のお客様に損害を与えるようなシステムやアプリケーションの不正利用は行わないでください
  • 実際または潜在的なセキュリティ問題を発見された場合は、当社まで速やかにご連絡ください
  • 当社が修正を適用した後、かつ相互の合意に基づいてのみ、当該問題を公表してください。合意内容には、公表の時期および開示する詳細の範囲が含まれます

以下の行為は行わないでください:

  • ご自身で作成されていないアカウントに紐づくデータへのアクセス、変更、または削除を行わないでください
  • 侵入性や破壊性の高いツールを使用しないでください
  • 低品質なレポートを大量に提出しないでください(例:スキャナーの結果をそのまま貼り付けるなど)
  •  以下のテスト方法を使用してください:
    • ネットワークサービス拒否(DoS または DDoS)テスト、あるいはシステムやデータへのアクセスを妨害または損傷するその他のテストは行わないでください
    • 物理的テスト(例:オフィスへのアクセス、開いているドア、尾行)は行わないでください
    • ソーシャルエンジニアリング(例:フィッシング、ビッシング)やその他の非技術的な脆弱性テストは行わないでください
  • Criteo の事前の書面による承認を得ずに、調査結果を第三者に開示しないでください
  • エクスプロイトを利用してデータの不正取得や流出、持続的なコマンドラインアクセスの確立、あるいは他のシステムへの横展開を行ってはなりません。エクスプロイトは、脆弱性の存在確認に必要な範囲内でのみ使用してください。疑問がある場合は、確認のために当社まで報告してください。

脆弱性の存在を確認した場合や、 PII (個人を特定できる情報)、財務情報、またはいずれかの当事者の専有情報や営業秘密などの機密データに遭遇した場合は、直ちにテストを中止し、速やかに当社へ通知してください。また、これらのデータを第三者に開示してはなりません。

範囲

本ポリシーは、 Criteo が所有、運営、または維持するすべてのデジタル資産に適用されます。ただし、当社のサブドメイン経由でアクセス可能なサービスや、当社製品と統合されているサードパーティサービスは対象外です。

詳細かつ最新の適用範囲は、 BugCrowd ポリシーをご覧ください。

報酬

Criteo は、本ポリシーを遵守し、責任あるかつ倫理的にセキュリティ問題を開示していただいた方に対し、謝意の表明および報酬を提供する場合があります。報奨の有無およびその金額は、脆弱性の重大度、影響度、およびレポートの質など、複数のパラメータに基づき当社の裁量で決定されます。

原則として、報酬額は影響の低い脆弱性の場合は 175 ドルから、最も重大な脆弱性の場合は 4500 ドルまで幅があります。

なお、すべての報酬は BugCrowd 上の当社プライベートプログラムを通じて管理されているので、報酬を受け取るためには BugCrowd アカウントが必要です。

脆弱性レポート

当社のバグバウンティ報酬は BugCrowd を通じてのみ支払われます。潜在的なセキュリティ脆弱性をレポートする際は、詳細な説明と再現手順を含むレポートをこのプラットフォーム上で作成してください。

現在、当社のプライベートバグバウンティプログラムに参加していない場合は、 BugCrowd のハンドルネームを明記の上、 security@criteo.com 宛にメールをお送りください。適格基準を満たしている場合、招待状をお送りいたします。

潜在的なセキュリティ脆弱性を報告するには、詳細な説明および再現手順を含むメールを security@criteo.com までお送りいただく方法もあります。

お客様

当社のクライアント企業様の場合、当社ではバグバウンティプログラムに加えて定期的なペネトレーションテストも実施しており、その結果はCriteoの担当者へお問い合わせいただくことでご確認いただけます。

お問い合わせ

本ポリシーまたは Criteo の情報セキュリティに関してご不明な点がございましたら、security@criteo.com までお問い合わせください。

Criteo のセキュリティ維持にご尽力いただき、誠にありがとうございます。当社の製品やサービスの安全性向上にご協力いただけることに深く感謝申し上げます。