FENDIは自社のシステム、特に個人データを会社の基本的資産と見なしているため、セキュリティーと機密保持は、クライアントの信頼を得るうえで不可欠な要素であると考えています。

セキュリティに注力しているものの、一般向けリリースの際に脆弱性に気付かないことや、新たな脆弱性が発生することがあります。

FENDIのドメインに関する脆弱性を発見し、当社に知らせたい場合は、「責任ある開示」に関するポリシーに基づき、責任ある開示の精神をもって、そのような脆弱性に関する報告を当社まで送付してください。

特に、以下にご注意ください。

• 報告は匿名であってはならず、以下のリンクに記載された情報のみを使用したものでなければならない。また、知らせようとする脆弱性を当社が特定し再現するために必要な主要情報を報告するようにする。
• 発見された脆弱性は、FENDIが適切な対応措置を導入したことを伝えるまで厳格にその機密性、秘密性を保持し、それらを開示したり第三者に知らせたりしてはいけない。また、いかなる場合も、開示しようとする内容を通告した後は相互を保護するため、脆弱性に関連したものではなく、機密性を保持すべき会社の情報が意図せず流布されることを避けなければならない。
• 報告が法人（公私にかかわらず）、企業、団体、その他の連合体に送付されたものである場合、特定された脆弱性に関する情報へのアクセスは自社従業員のみ、かつ、彼らの活動に必要な範囲のみに厳しく限定し、発見された脆弱性に関する情報の機密性、前述したアクセスおよび使用の限定を確実にするため、必ず適切かつ妥当なすべての対策を講じなければならない。
• FENDIのセキュリティ担当チームおよび関連する作業グループと協力する。
• 報告に含まれるシステムおよびサービスに関連するデータに、違反、紛失および/または破壊をもたらしかねない、もしくはサービスに有害な影響を与えたり、それを妨害したりしかねない行動をとらない。そのため、以下の行為は明確に禁じられる。
  • データのアクセス、変更またはダウンロード
  •  FENDIの資産またはリソースの機能に損害を与える可能性がある「サービス拒否（DoS）」攻撃に該当する行為
  • FENDIのシステムを使用した、悪質なコードのアップロード、リンク、実行
  • 望ましくないメッセージ、スパムその他、許可されていない形態のメッセージを送信する結果となるようなテストの実施

FENDIは報告を受けたら、以下のことを行うよう最善を尽くします。

•  20日以内に返答し、報告内容と「責任ある開示」に関するポリシーとの関連性、およびFENDIが実施した初期分析の結果に関する情報を提供する。
• 法的義務および/または管轄機関の命令を履行することを前提に、報告の機密性を保持する。

FENDIでは、情報の機密保持期間は、当該脆弱性が除去され、通報者にフォローアップの報告が送付されるまで持続するものと考えています。

以下のケースに関する通知は、現在の「責任ある開示」に関するポリシーの対象外であるため、相対的妥当性の確認を伴うことなく拒否されます。

• 自動化された脆弱性ツール、評価/浸透性テスト/情報収集による結果
• 「サービス拒否」（DoS、DDoS）攻撃による結果。これについては、FENDIが適切な措置を講じる権利を留保する。
• 特化されたサイトを通して実施された評価による結果
• セキュリティ違反とは見なされない「ユーザーインターフェース」または「ユーザー経験」に関連するバグズ（タイプエラー、ページフォーマットのエラーなど）
• FENDIが直接管理していないドメイン、または、以前に規定された本ポリシーの適用範囲に含まれない場所における観察事項
• セキュリティおよび「責任ある開示」に関するポリシーと関連性がないすべての通知

FENDIは、報告のフォローアップを管理する目的、および、報告された脆弱性に関連して必要な措置を講じる目的においてのみ、報告者の全個人連絡先情報（名前、Eメールおよび、任意で電話番号）を処理します。報告者の個人データは、適切な管轄機関および、報告された脆弱性に関連する調査サービスを提供する第三者企業に伝達される場合があります。

FENDIは、あらゆる報告に対して謝意を表します。しかし、疑いのある、または特定された脆弱性に関連する報告に対し、いかなる報酬（金銭的もしくは別の形態）も提供しないことをここに明記します。

FENDIは、現在の「責任ある開示」に関するポリシーに規定された要件を尊重しない報告には対応しない権利を留保します。

FENDIは、上述の「責任ある開示」に関するポリシーを随時更新する権利を留保します。