Salesforce Trust

Policy för rapportering av säkerhetsrisker

På Salesforce är förtroende vår viktigaste värdering. Vi tar skyddet av våra kunders uppgifter på största allvar.

Salesforces säkerhetsteam uppskattar den viktiga roll som oberoende säkerhetsforskare spelar i frågan om internetsäkerhet. Vi uppmuntrar därför en ansvarsfull rapportering av alla sårbarheter som eventuellt upptäcks på vår webbplats eller i våra applikationer. Salesforce har åtagit sig att samarbeta med säkerhetsforskare för att verifiera och åtgärda eventuella sårbarheter som rapporteras till oss.

Innan du testar och/eller anmäler en säkerhetsrisk, var god läs dessa villkor först. Salesforce förbinder sig att inte inleda någon rättslig process mot forskare som gör intrång eller försöker göra intrång i våra system så länge dessa villkor respekteras.

Söka efter sårbarheter i säkerheten:

Om en testversion eller Developer Edition finns tillgänglig ska alla sårbarhetstester utföras på dessa instanser. Vid testning av våra nättjänster, använd alltid test- eller demokonton.

För information om analyser, krav, restriktioner och schemaläggning när det gäller säkerhetsfrågor, läs artikeln Sårbarhetsanalys och intrångstest.

Rapportering av potentiella säkerhetsrisker:

  • För att rapportera misstänka säkerhetsrisker till Salesforce, skicka ett privat meddelande via e-post till security@salesforce.com
  • Tillhandahåll fullständig information rörande den misstänkta risken så att Salesforces säkerhetsteam kan kontrollera och återskapa problemet.

Salesforce tillåter ej följande typer av säkerhetsforskning:

Även om vi uppmuntrar dig att på ett ansvarsfullt sätt hitta och rapportera alla slags svagheter som kan finnas, är följande uttryckligen förbjudet:

  • Att utföra handlingar som negativt kan påverka Salesforce eller dess användare (t.ex. skräppost, nyckelsökningsangrepp, Denial of Service…)
  • Tillgång, eller försök att få tillgång, till data eller information som inte tillhör dig.
  • Att förstöra eller förvanska, eller att försöka förstöra och förvanska, data eller information som inte tillhör dig.
  • Utföra fysiska eller elektroniska attacker av alla de slag mot Salesforces anställda, egendomar eller datorcentraler.
  • Social manipulation av Salesforces kundtjänst, anställda eller leverantörer.
  • Att utföra sårbarhetstester på inkluderade tjänster genom något annat än testkonton (till exempel Developer Edition eller testversioner).
  • Att bryta mot lagar eller andra överenskommelser i syfte att upptäcka säkerhetsrisker.

Salesforce säkerhetsteams åtagande:

Vi ber dig att inte dela eller publicera olösta säkerhetsrisker med/på en tredje part. Om du gör en ansvarsfull rapportering en säkerhetsrisk, kommer Salesforces säkerhetsteam och associerade utvecklingsorganisationer att använda rimliga medel för att:

  • Svara inom rimlig tid och bekräfta mottagandet av din sårbarhetsrapport
  • Tillhandahålla en uppskattad tidsram för hanteringen av rapporten
  • Meddela dig när sårbarheten har åtgärdats

Vi tackar var och en av de enskilda forskare som rapporterar säkerhetsproblem till oss, eftersom det hjälper oss att förbättra Salesforces övergripande säkerhet.








  


Till alla som bidrar – Tack

Vi tar skyddet av våra kunders uppgifter på största allvar och vi uppskattar att många av dem, precis som vi, tycker att förtroende är vårt främsta värde. Se listan över de som bidragit till säkerhetsforskningen.