책임 공개 정책

펜디는 펜디의 시스템 및 특히 개인 정보를 회사의 중요 자산으로 여기고 있으며, 이를 위한 보안과 기밀 유지는 펜디 고객의 신뢰를 얻기 위한 필수적인 요소입니다.


보안 유지에 최선을 다하고 있으나 대중에게 공개 시 일부 취약점이 확인되지 않거나 새로운 취약점이 발견될 수 있습니다.


펜디 도메인과 관련하여 취약점을 발견하여 펜디에 이를 알리고 싶은 경우 책임 공개 정신에 입각하여 본 “책임 공개” 정책에 따라 그러한 취약점을 펜디로 보고해줄 것을 당부드립니다.


특히 다음을 유의하여 주십시오.


  • 보고는 익명으로 작성되어야 하고, 다음 링크에서 언급된 정보만을 사용하여야 하며, 귀하가 공유하고자 하는 취약점을 확인하거나 복제할 때 필요한 주요 정보를 보고해야 합니다.
  • 취약점과 관련이 없고 기밀로 유지되어야 할 회사 정보에 대한 비자발적인 유포를 피하고자 상호 간의 보호를 목적으로 귀하가 공개하고자 하는 내용을 공유한 뒤 발견한 취약점은 철저하게 기밀 및 비밀로 유지해야 하며, 적절한 조치를 취했다고 펜디에서 알리기 전까지는 취약점을 공개하거나 제3자가 이용할 수 있게 해서는 안 됩니다.
  • 법인(공적 또는 사적), 기업체, 단체 또는 기타 연합 유형인 경우 보고를 전송하는 당사자는 발견한 취약점과 관련된 정보의 접근을 직원의 활동에 엄격하게 필요한 경우에만 소속 직원으로 제한해야 하며, 기밀 유지 및 앞서 언급한 발견된 취약점에 관한 정보의 접근 및 사용의 제한을 위한 모든 적당하고 적합한 조치가 취해졌음을 확인해야 합니다.
  • 펜디 보안팀 및 관련 업무 단체와 협력해야 합니다.
  • 보고와 관련된 시스템 및 서비스와 관계된 데이터가 위반, 손실 및/또는 파기될 수 있는 어떠한 행위 또는 서비스에 부정적인 영향을 주거나 서비스를 중단시킬 수 있는 어떠한 행위도 하지 않습니다. 따라서 다음 행위는 명백히 금지됩니다.
    • 데이터의 접근, 수정 또는 다운로드
    •  펜디의 모든 자산 또는 자원의 기능에 손상을 줄 수 있는 “서비스 거부” 공격과 맞먹는 행위
    • 펜디 시스템을 이용하여 유해한 코드 업로드, 링크, 실행 또는 전송
    • 바람직하지 않은 메시지, 스팸 또는 기타 무단의 메시지를 전송할 수 있는 테스트 수행

보고를 받으면 펜디는 다음을 수행하기 위해 최선을 다합니다.


  •  20일 이내에 책임 공개 정책에 따른 보고 관련 정보 및 펜디의 예비 분석 결과가 포함된 답변 전송
  • 법적 의무 및/또는 당국의 명령 이행의 대상인 보고의 기밀성 유지

정보 기밀성 기간은 펜디의 결정 하에 취약점의 종결 및 보고를 전송한 당사자에게 후속 보고 시까지 지속됩니다.


다음 경우와 관련된 보고는 현 책임 공개 정책에서 제외되므로 관련 확인 없이 거부됩니다.


  • 자동화된 취약점 도구, 평가/침투 테스팅/정보 수집
  • 펜디에서 적절한 조치를 취할 권리가 있는 서비스 거부 공격(DoS, DDoS)의 결과
  • 특화된 사이트를 통해 수행된 평가 결과
  • 보안 침해가 아닌 사용자 인터페이스 또는 사용자 경험과 관련한 버그(예: 타이핑 에러, 페이지 포맷 에러)
  • 펜디에서 직접 관리하지 않는 도메인 발견 또는 정책이 적용되는 이전에 규정된 한계의 일부를 구성하지 않는 경우
  • 보안 및 책임 공개 정책과 관련되지 않은 모든 공지

 


펜디는 보고 당사자의 모든 개인 연락처 정보(성명, 이메일 및 선택 사항인 전화번호)를 보고에 대한 후속 조치를 관리하고 보고된 취약점에 관련된 필요한 행위를 실행할 목적으로만 이용합니다. 보고 당사자의 개인 정보는 보고된 취약점과 관계된 연구 서비스를 제공하는 제삼자 회사 및 관련 당국에 전달될 수 있습니다.


펜디는 모든 보고에 감사를 표하지만 주장된 또는 확인된 취약점 보고에 대한 어떠한 보상(금전 또는 기타)도 제공하지 않습니다.


펜디는 현 책임 공개 정책에 규정된 요건을 충족하지 않는 보고를 다루지 않을 권리를 보유하고 있습니다.  


펜디는 상기 명시된 책임 공개 정책을 언제라도 업데이트할 권리를 보유하고 있습니다.