責任ある脆弱性報告ポリシー

Transatel は、委託された情報の可用性、完全性、機密性、および追跡可能性を確保することに努めています。

しかし、Transatel に関連するセキュリティ上の脆弱性、欠陥、またはデータ漏洩が発見された場合、本ページでは脆弱性報告の取り扱いに関する責任ある開示ポリシーを説明し、問題を通知する方法を示します。

セキュリティ研究者、開発者、顧客、個人を問わず、以下の条件を遵守する限り、すべての報告は歓迎されます：

• 発見された脆弱性に関する情報を機密として保持してください。
• ソーシャルエンジニアリング（フィッシング、詐欺など）、サービス拒否攻撃（DoS、DDoS）、スパム、詐欺、物理的なセキュリティ侵害などの自動ツールや攻撃手法を使用しないでください。
• 必要以上に脆弱性を悪用しないでください。たとえば、必要以上のデータをダウンロードしたり、第三者のデータの完全性を損なったりしないでください。
• 報告の結果について連絡を希望する場合は、連絡手段を提供してください。
• 結果を以下のメールアドレスに送信してください： security-disclosure@transatel.com （このアドレスは脆弱性報告専用です。他の問い合わせは処理されません）。
• または、フランスのデジタル共和国法第47条に基づき、CERT-FR を管轄当局として連絡してください： cert-fr@ssi.gouv.fr。
• このポリシーで明示的に規定されている範囲を超えて、法律や規制に違反しないでください。
• プライバシーポリシーを無条件で受け入れ、報告が処理されることを許可してください。

報告内容について

• 個人情報を匿名化してください。
• セキュリティ問題を再現または確認するために必要なすべての情報（IP、URL、脆弱性の説明、OWASP、CVE、ATT&CK の参照）、スクリーンショット、影響を受ける製品やサービスのリストを含めてください。
• 必要に応じて、作成したテストアカウントの詳細を指定してください。

報告を受け取った後、セキュリティチームができるだけ早く確認します。報告は規制および法律上の要件に従って機密扱いで処理されます。

報告プロセスへの参加は、知的財産権を付与するものではありません。

脆弱性が本ポリシーに従って発見・報告された場合、報告者に対して法的措置は取られません。ただし、本ポリシーに違反した場合、当社はすべての法的権利を留保します。

現時点では、当社はバグバウンティプログラムを提供しておらず、参加もしていません。