Our vulnerability disclosure policy explained

Welcome! We are glad that you are interested in the way we handle security vulnerability cases. This page aims to address the following concerns:ようこそ！当社がセキュリティ脆弱性ケースをどのように処理するかに興味をお持ちいただきありがとうございます。このページは、以下の懸念に対応することを目的としています：

• What this policy coversこのポリシーがカバーする内容
• Guidelines on reporting報告に関するガイドライン
• How you can report a security vulnerability case to usセキュリティ脆弱性ケースを当社に報告する方法
• Legal compliance法的コンプライアンス

Part 1: Introductionパート1：はじめに

Before you proceed with reporting, you must read the contents of this page carefully. Once you have read and understood our policy, you will have a better idea of our reporting process and how to submit a report to us.報告を進める前に、このページの内容を注意深くお読みください。当社のポリシーを読んで理解していただくと、当社の報告プロセスと当社に報告を提出する方法についてより良い考えが得られます。

Our team regularly reviews security issues and investigates cases, and takes security vulnerabilities seriously by collaborating with our partners.
当社のチームは定期的にセキュリティ問題をレビューし、ケースを調査し、パートナーと協力してセキュリティ脆弱性を真剣に受け止めています。

Part 2: What this policy coversパート2：このポリシーがカバーする内容

This disclosure policy is valid only to assets that are owned, operated, or maintained by Remerge under the following conditions:この開示ポリシーは、以下の条件の下でRemergeが所有、運営、または保守する資産に対してのみ有効です：

• The vulnerability has never been detected before nor have been reported by our internal team.脆弱性が以前に検出されておらず、当社の内部チームによって報告されていない。
• The vulnerability is not caused simply by a high volume of reports that overwhelms a service脆弱性が、サービスを圧倒する大量の報告によって単に引き起こされるものではない。
• The vulnerability is not exploitable, or if our services are not aligned with so-called ‘best practices’, such as missing security headers or TLS configuration weaknesses.脆弱性が悪用可能でない、または当社のサービスがいわゆる「ベストプラクティス」に沿っていない（セキュリティヘッダーの欠如やTLS設定の弱点など）場合。

This policy applies to everyone, including both current and former Remerge staff, third party suppliers, partners, and general users of Remerge products and services.
このポリシーは、現在および元Remergeスタッフ、サードパーティサプライヤー、パートナー、およびRemerge製品とサービスの一般ユーザーを含むすべての人に適用されます。

BUG BOUNTYバグバウンティ

Remerge will make an effort to recognize those who dedicate their time and effort to point out security vulnerabilities, in our own way, but we do not pay bug bounty.
Remergeは、セキュリティ脆弱性を指摘するために時間と努力を捧げる方々を独自の方法で認識する努力をしますが、バグバウンティは支払いません。

Part 3: Guidelines on reportingパート3：報告に関するガイドライン

Your report must be based on genuine grounds and is intended to help us make our website a more secure place. As a security researcher, you must not:報告は真正な根拠に基づいている必要があり、当社のウェブサイトをより安全な場所にすることを目的としている必要があります。セキュリティ研究者として、以下のことをしてはいけません：

• Access excessive amounts of data. For example, a small amount of data is enough to prove most vulnerability cases.過度な量のデータにアクセスすること。たとえば、少量のデータでほとんどの脆弱性ケースを証明するのに十分です。
• Use methods and tools that are invasive or destructive.侵入的または破壊的な方法やツールを使用すること。
• Violate the privacy of Remerge stakeholders (employees, clients, suppliers, partners, or contractors). For example, by sharing, distributing, and/or mishandling data retrieved from our systems or services.Remergeステークホルダー（従業員、クライアント、サプライヤー、パートナー、または契約者）のプライバシーを侵害すること。たとえば、当社のシステムまたはサービスから取得したデータを共有、配布、および/または誤って処理すること。
• Modify data hosted on Remerge systems or services.Remergeシステムまたはサービス上にホストされているデータを変更すること。
• Disrupt Remerge systems or services.Remergeシステムまたはサービスを中断すること。
• Use methods like social engineering, phishing, or physical attack on Remerge staff or infrastructure.Remergeスタッフまたはインフラストラクチャに対するソーシャルエンジニアリング、フィッシング、または物理的攻撃のような方法を使用すること。
• Disclose any vulnerabilities of Remerge to third parties or the general public, without confirming with Remerge if those vulnerabilities have been mitigated or rectified. However, you may inform a vulnerability to third parties that are directly affected by it. An example would be if the vulnerability is in a techstack belonging to a third party. In this case, details of the specific vulnerability related to Remerge must not be disclosed in such reports.それらの脆弱性が軽減または是正されたかどうかをRemergeと確認せずに、Remergeの脆弱性を第三者または一般大衆に開示すること。ただし、脆弱性によって直接影響を受ける第三者に通知することはできます。たとえば、脆弱性が第三者に属する技術スタックにある場合です。この場合、Remergeに関連する特定の脆弱性の詳細は、そのような報告で開示してはいけません。
• Demand for monetary compensation in exchange for disclosure of any vulnerability found that is not covered by our bug bounty policy. This includes holding us or any party to ransom.当社のバグバウンティポリシーの対象となっていない脆弱性の開示と引き換えに金銭的賠償を要求すること。これには、当社またはいかなる当事者を身代金にすることも含まれます。

You must delete all data retrieved during your research once it is no longer required or within one month after the vulnerability issue is resolved, whichever comes first.脆弱性問題が解決された後1ヶ月以内、または必要がなくなった時点のいずれか早い方で、調査中に取得したすべてのデータを削除する必要があります。

Part 4: How to report a security vulnerabilityパート4：セキュリティ脆弱性を報告する方法

If you have discovered something that is an indication of a security vulnerability, please read the details explained above in Part 2 and 3 to understand the scope. Then you may write a report to us via email at security@remerge.ioセキュリティ脆弱性の兆候を発見した場合は、上記のパート2およびパート3で説明されている詳細をお読みいただき、範囲を理解してください。その後、security@remerge.io宛に電子メールで報告をお送りください。

Please include the following details in your report:報告には以下の詳細を含めてください：

• The exact location/section of our website where you have identified the vulnerability脆弱性を特定した当社ウェブサイトの正確な場所/セクション
• The type of vulnerability, e.g. ‘API vulnerability’, and a short description of it.脆弱性のタイプ（例：「API脆弱性」）とその簡単な説明。

In order for your report to be managed and assigned quickly, your report should provide proof of the vulnerability in a helpful, constructive, and objective way. This helps minimize the chances of generating duplicate reports or malicious exploitation of particular vulnerabilities. An example would be SQL injection.報告を迅速に管理および割り当てるために、報告は役立つ、建設的、かつ客観的な方法で脆弱性の証明を提供する必要があります。これにより、重複する報告や特定の脆弱性の悪意のある悪用を生成する可能性を最小限に抑えることができます。例としてSQLインジェクションが挙げられます。

NEXT STEPS次のステップ

We aim to reply to you within 72 working hours of receiving your report via email. Our security team will triage your report and get in touch with you as soon as possible if further information is needed, whether the vulnerability is in or out of scope, or if the vulnerability has already been reported before. If remediation work is needed, it will be resolved internally by the relevant Remerge team. Regarding bug fixes and mitigations, we will prioritize them based on the impact severity and exploit complexity.当社は、電子メールで報告を受け取ってから72営業時間以内に返信することを目指しています。当社のセキュリティチームは報告をトリアージし、さらなる情報が必要な場合、脆弱性が範囲内または範囲外か、または脆弱性が以前に報告されたことがあるかどうかをできるだけ早く連絡します。修正作業が必要な場合は、関連するRemergeチームによって内部で解決されます。バグ修正と軽減については、影響の深刻度と悪用の複雑さに基づいて優先順位を付けます。

Your report might take some time to be assessed. You may follow up on the status of the process only when necessary; once every two weeks is sufficient. This is to ensure that our team can focus their efforts on investigating the report itself.報告の評価には時間がかかる場合があります。必要な場合のみプロセスの状況をフォローアップできます。2週間に1回で十分です。これは、当社のチームが報告自体の調査に努力を集中できるようにするためです。

Once your report has been resolved or remediation work is required, our security team will inform you and ask you to review our solution and check if it addresses the vulnerability issue you have raised.報告が解決された、または修正作業が必要な場合、当社のセキュリティチームがお知らせし、当社の解決策をレビューし、お客様が提起された脆弱性問題に対応しているかどうかを確認していただくようお願いします。

Part 5: Legal complianceパート5：法的コンプライアンス

We have created this vulnerability disclosure policy in line with industry best practices. This policy does not afford you the right to act in any manner that goes against the law, or might cause Remerge to be in breach of its legal obligations, including but not limited to:当社は、業界のベストプラクティスに沿ってこの脆弱性開示ポリシーを作成しました。このポリシーは、法律に反する方法で行動する権利、またはRemergeが法的義務を違反する原因となる可能性のある権利を提供するものではありません。これには以下が含まれますが、これらに限定されません：

• The Computer Misuse Act (1990)コンピューター誤用法（1990年）
• The General Data Protection Regulation 2016/679 (GDPR) and the Data Protection Act 2018一般データ保護規則 2016/679（GDPR）およびデータ保護法 2018
• The Copyright, Designs and Patents Act (1988)著作権、意匠および特許法（1988年）
• Privacy and Electronic Communications Regulationsプライバシーおよび電子通信規則

Please inform yourself and comply with the data protection regulations and laws applicable to your region in relation to any relevant information mentioned in this document. Remerge will not take legal action against any reporter who is genuinely concerned and has good intentions in pointing out the security vulnerability on our service or system, in agreement with this disclosure policy. However, this does not give security researchers the right to reverse engineer our Intellectual Property, in which legal action can be taken.この文書で言及されている関連情報に関して、お住まいの地域に適用されるデータ保護規制および法律についてご自身で情報を得て、遵守してください。Remergeは、この開示ポリシーに合意して、真に懸念を持ち、当社のサービスまたはシステムのセキュリティ脆弱性を指摘する良い意図を持っている報告者に対して法的措置を講じることはありません。ただし、これはセキュリティ研究者に当社の知的財産をリバースエンジニアリングする権利を与えるものではなく、その場合は法的措置を講じることができます。

Thank you for your interest in making the Internet a safer place.インターネットをより安全な場所にすることに興味をお持ちいただきありがとうございます。