《负责任披露》政策

FENDI认为其系统,特别是个人数据是公司的基本资产,因此,安全性和保密性是赢得客户信任的重要因素。


尽管我们非常重视安全性,但在向公众发布时可能没有注意到一些漏洞,也可能会出现新的漏洞。


如发现与FENDI域名有关的漏洞,并希望与我们分享,请遵循《负责任披露》政策、本着负责任的披露精神,向我们发送有关该漏洞的报告。


尤其要指出的是:


  • 报告不能匿名,只能使用以下链接中提到的信息,并报告我们识别和重现您要分享的漏洞所需的主要信息;
  • 对所发现的漏洞严格保密,并承诺在Fendi告知已采取适当的应对措施之前,不向第三方披露或提供这些漏洞,在任何情况下,在分享您打算披露的内容后,出于对等保护的考虑,避免与漏洞无关且必须保密的公司信息的非自愿传播。
  • 如果是法人(公立或私营)、法人团体、团体或其他联营形式,递交报告者必须限制其雇员获取已查明的漏洞信息,而且只能在开展必要的活动时获取,确保妥善采取一切措施,确保保密性及对所发现的漏洞信息的获取和使用情况进行上述限制。
  • 配合Fendi的安全团队和相关工作小组;
  • 不从事任何可能导致违反、丢失和/或破坏与报告所涉系统和服务有关数据的活动,或可能对服务产生不利影响或中断服务的活动。因此,明令禁止:
    • 获取、修改或下载数据;
    •  采取类似于“拒绝服务”攻击的行动,这可能会破坏FENDI的任何资产或资源的功能;
    • 使用FENDI系统上传、链接、执行或发送恶意代码;
    • 进行测试,其结果可能是发送不受欢迎的消息、垃圾邮件或未经授权的其他形式的消息。

一旦收到报告,FENDI将尽最大努力:


  •  在20天内作出答复,提供报告与《负责任披露》政策的相关性以及FENDI进行的初步分析结果的信息;
  • 在遵循法律义务和/或当局命令的前提下,对报告进行保密;

FENDI认为,信息保密期持续到漏洞完结,并向发出通知者作如下报告。


与下列情形有关的通知不在本《负责任披露》政策范围内,因此,未经相关验证,将予以拒绝:


  • 自动化漏洞工具、评估/渗透测试/信息收集的结果
  • 拒绝服务攻击(DoS、DDoS)的结果,FENDI保留采取适当措施的权利;
  • 通过专门的站点进行评估的结果;
  • 与用户界面或用户体验有关但不构成安全漏洞的错误(例如打字错误、页面格式错误);
  • 关于非FENDI直接管理的域或在任何情况下都不属于先前规定的政策适用范围的意见;
  • 所有与安全性及《负责任披露》政策无关的通知。

 


Fendi将处理报告人的所有个人联系信息(姓名、电子邮件和可选的电话号码),仅用于管理报告的后续工作,并针对所报告的漏洞采取必要的措施。报告者的个人数据可能会送交有关当局和向我们提供与报告的漏洞有关的研究服务的第三方公司。


Fendi对大家提供报告表示感谢,但在此澄清,对于报告涉嫌或已发现的漏洞,不予奖励(金钱或其他形式)。


对于不遵守本《负责任披露》政策规定要求的举报,Fendi保留不予处理的权利。


FENDI保留随时更新上述《负责任披露》政策的权利。