セキュリティ
LumenLingoとお客様のデータのセキュリティを真剣に受け止めています。脆弱性を発見された場合は、ぜひお知らせください。
この文書は複数の言語でご利用いただけます。翻訳版間に矛盾や不一致がある場合は、英語版が優先されます。 英語版を表示
脆弱性の報告
LumenLingoにセキュリティ脆弱性を発見したと思われる場合は、にメールで責任を持って報告してください。
脆弱性の説明、再現手順、潜在的な影響、概念実証コードやスクリーンショットなど、できるだけ詳細な情報を含めてください。
RFC 9116に準拠した機械可読のsecurity.txtファイルも公開しています。
範囲
対象範囲
- LumenLingoウェブサイト(lumenlingo.com)およびすべてのサブドメイン
- lumenlingo.com/api/*下のAPIエンドポイント
- LumenLingo iOSアプリ
- 認証および認可の不具合
- クロスサイトスクリプティング(XSS)、インジェクション、CSRFの脆弱性
- サーバーサイドリクエストフォージャリ(SSRF)
- 機密データの漏洩
対象外
- Lumenshore従業員へのソーシャルエンジニアリング(フィッシング、ビッシング)
- サービス拒否攻撃(DoS/DDoS)
- Lumenshoreのオフィスやインフラへの物理的攻撃
- サードパーティサービス(Apple、Vercel、Sentry)の脆弱性 — それぞれのベンダーに報告してください
- 事前承認なしの自動スキャン
- スパム、SEO操作、セキュリティに影響しないコンテンツインジェクション
当社の対応
以下の対応タイムラインをお約束します:
- 確認 — 報告から48時間以内
- 初期評価 — 5営業日以内
- 解決目標 — 重大な問題は30日以内、それ以外は90日以内
- 通知 — 問題が解決した際にお知らせします
進捗状況をお伝えし、問題の再現や解決に役立つ追加情報をお尋ねする場合があります。
セーフハーバー
以下の条件を満たすセキュリティ研究者に対して法的措置を取ることはありません:
- 善意で行動し、この開示ポリシーに従うこと
- 他のユーザーのデータへのアクセスや変更を避けること
- サービスを低下させないこと(DoSや破壊的テストなし)
- 脆弱性を速やかに報告し、当社が対処する合理的な機会を得るまで公開しないこと
これらのガイドラインに従う場合、お客様の調査は許可されたものとみなし、発見に関連する民事または刑事措置を取ることはありません。
連絡先
セキュリティ報告:
一般サポート:
希望言語:英語