脆弱性を当社に報告していただくと、当社は以下の対応を行うことができるようになります。
- プログラムのルールに則って提出された脆弱性レポートに基づき、セーフハーバーの提供を拡大
- レポート提出に対するタイムリーな初期応答をはじめ、お客様と協力してレポート内容を理解および検証
- 発見された脆弱性を合理的な方法で修正
はじめに
Visaにおいて、サイバーセキュリティは価値観の中核をなすものです。Visaの製品、サービス、Webサイト、またはアプリケーションの潜在的なセキュリティの脆弱性に関する何らかの情報をお持ちの場合は、ぜひご報告をお願いいたします。当社は、潜在的な脆弱性に関する情報交換を促進し、脆弱性テストのルールを確立し、これらのルールに従う個人にセーフハーバーを提供するため、この脆弱性開示プログラムを構築しました。
期待事項
プログラムのルール
このプログラムは、Visaのアプリケーション、システム、またはデータへのハッキング、侵入、またはその他の不正アクセスの試みを奨励または許可するものと解釈してはならないことにご注意ください。誠実な報告と、悪意ある攻撃との混同を避けるため、以下を実践するようにお願いいたします。
- 発見した脆弱性の疑いまたは脆弱性が確認された場合は、直ちに報告する
- 他人のプライバシーの違反、システムの混乱、データの破壊、および/またはユーザー体験の損失を決して行わない
- ソーシャルエンジニアリング(フィッシング、ビッシング、スミッシングなど)を決して行わない
- 脆弱性が原因でデータへの意図しないアクセスがある場合 (例: テスト中に個人情報、クレジットカードデータ、機密情報などのユーザーデータに遭遇した場合)は、テストを中止し、直ちにレポートを提出する。いかなるVisaのデータにもアクセスすることは禁止されています
- 脆弱性を修正に要する適切な時間を提供する
- 発見した脆弱性の詳細に関する機密を保持する
- 承認されていない金融取引を開始しない
- 対処可能なアカウントは、自分が所有するアカウント、またはアカウント名義人から明示的な許可を得たアカウントの場合のみ
- 国、州・都道府県、または地域の法律または規制に違反しない
セーフハーバー
このプログラムに従って実施されるテスト活動はセーフハーバーによって保護されます。当社がお客様に対して法的措置を講じることはありません。当社のルールに従って実施された活動に関連して、第三者がお客様に対して法的措置を開始する場合、当社はお客様の行為がVisaの脆弱性開示プログラムに従って行われたことを知らせる措置を講じます。
このプログラムの運営においては、Visaが保有する権利を行使しない(または行使を遅らせる)ことがあっても、かかる権利を放棄することはありません。さらに、お客様がルールに違反した場合、Visaは、差し止め、特定の履行またはその他の衡平法上の救済を求める権利など、法律または衡平法で使用可能なすべての権利およびその他の救済策を留保します。
Visaの顧客とデータの安全を守るためにご協力いただきありがとうございます。当社のルールに反する可能性のある行為は、それを行う前に、当社に必ず報告書を提出してください。
脆弱性を報告
Visaは、HackerOneを使用して、責任を持って開示された脆弱性レポートを選別し、検証します。報告書を提出してください。