Salesforce Trust

责任披露策略

在 Salesforce,信任是我们最重视的一个方面,我们也十分重视保护客户数据的安全性。

Salesforce 安全团队承认独立安全研究员在互联网安全中扮演的重要角色。因此,我们鼓励有责任地报告在我们的站点或应用程序上发现的任何漏洞。Salesforce 承诺与安全调查员精诚合作,以验证并解决向我们报告的任何潜在漏洞。

在您测试和/或报告漏洞前,请查看这些条款。只要入侵或尝试入侵我们系统的研究员遵守此策略,Salesforce 承诺不对其提出法律诉讼。

测试安全漏洞:

不论 Trial Edition 或 Developer Edition 可用时,请对此类实例执行所有漏洞测试。在测试我们的在线服务时,请始终使用测试或演示帐户。

有关安全评估、要求、限制和计划的信息,请查看标题为“漏洞评估和渗透测试”的 Knowledge 文章。

报告潜在安全漏洞:

  • 通过将电子邮件发送到 security@salesforce.com,私下与 Salesforce 共享可疑漏洞的详细信息
  • 请提供可疑漏洞的完整详细信息,这样 Salesforce 安全团队便可以验证并重现该问题

Salesforce 不允许以下类型的安全调查:

在我们鼓励您本着负责任的态度发现并向我们报告所发现的漏洞时,明令禁止以下行为:

  • 执行对 Salesforce 或其用户产生负面影响的操作(例如垃圾邮件、暴力破解、拒绝服务…)
  • 访问或尝试访问不属于您个人的数据或信息
  • 破坏或损坏,或者尝试破坏或损坏不属于您个人的数据或信息
  • 对 Salesforce 人员、财产或数据中心进行任何类型的物理攻击或电子攻击
  • 社交工程攻击任何 Salesforce 服务台、员工或承包商
  • 使用测试帐户以外的其他任何帐户执行参与服务漏洞测试(例如 Developer 或 Trial Edition 实例)
  • 为发现漏洞而触犯法律或违反协议

Salesforce 安全团队承诺:

我们要求您不得与第三方共享或向其公布未解决的漏洞。如果您负责任地提交漏洞报告,Salesforce 安全团队和关联研发组织将通过合理努力:

  • 及时回应,并确认收到您的漏洞报告
  • 提供解决漏洞报告的预计时间范围
  • 漏洞修复时通知您

我们十分感谢每一位提交漏洞报告帮助我们改善 Salesforce 整体安全态势的调查员。








  


感谢投稿人

我们十分重视保护客户数据,并也十分欣赏将信任视为重中之重的客户。查看安全研究投稿人列表