1.はじめに

セーフィー株式会社（以下「当社」といいます。）では、当社が提供する機器製品およびクラウドサービス等全般（以下「本サービス」といいます。）を安心・安全にご利用していただくためにセキュリティ対策に努めております。
本ポリシーは本サービスにおける脆弱性情報の取り扱いについて定めたものです。

2.対象範囲

本ポリシーは、当社が提供する本サービスに適用されます。

3.脆弱性情報の報告窓口

本サービスに関する脆弱性情報をお持ちの方は、脆弱性報告フォームよりご連絡下さい。
報告された情報は当社プライバシーポリシーに従い管理します。

4.脆弱性情報の取り扱いと対応

報告を受領後、速やかに受領確認のご連絡をいたします。その後、以下のプロセスで対応を行います。

1. 調査・評価：報告内容の事実確認および影響範囲の特定を行い、共通脆弱性評価システム (CVSS) や当社基準に基づき深刻度を評価します。
2. 対策の実施：脆弱性が確認された場合、必要な修正や回避策を講じます。
3. 検証・完了：対策の有効性を検証し、対応を完了します。

対応完了後、または脆弱性ではないと判断した場合には、その旨を報告者様へご連絡いたします。なお、調査から対策完了までの期間中は、必要に応じて進捗状況を共有させていただく場合があります。

5.脆弱性情報の公表

利用者への影響を考慮し、原則として脆弱性の対策完了後、関係各所と調整の上、JVN（Japan Vulnerability Notes）や当社Webサイトを通じて情報を公表します。ただし、緊急性が高い場合は回避策のみを先行して公表することがあります。
公開する情報には、脆弱性の内容、対象製品、対策方法等が含まれます。また、報告者様が希望される場合には、謝辞（氏名、ハンドルネーム等）を掲載させていただきます。

6.免責事項

本ポリシーを遵守し、正当に脆弱性の調査・報告を行った報告者様に対して、当社は法的責任を講じません。
本サービスのセキュリティ向上にご協力いただきました報告者様には、感謝の意を表します。
脆弱性情報の報告への対応に関し、当社は報告者様への対価や報奨金の支払いを約束するものではありません。
報告者様が脆弱性の調査・報告に要した費用や、その他一切の損害について、当社は責任を負いかねますので、あらかじめご了承ください。