脆弱性公開ポリシー
本ポリシーは、発見した脆弱性を富士フイルムビジネスイノベーションに報告する方法を、セキュリティ研究者に対してお知らせすることを目的としています。以下のプロセスは、「ISO/IEC 29147」に基づきます。
弊社製品についての脆弱性報告先
弊社製品についての脆弱性のご報告は、下記の報告フォームからお願いします。
ご報告の際は以下の項目をご記入ください。
- 連絡先(お名前、メールアドレス)
- 製品名
- ソフトウェアまたはファームウェアのバージョン
- 脆弱性の詳細情報(想定される原因や再現手順等を含む)
また、弊社からの連絡後、可能であれば以下の情報もご送付ください。送付の際はPGP鍵を使用してください。
- 実証コード(PoC)
- スクリーンショット
- 再現に必要なツールなどの名称
脆弱性報告の対象
脆弱性報告の対象は、富士ゼロックス製または富士フイルムビジネスイノベーション製の複合機・プリンター、プロダクション・プリンター、ソフトウェア、およびクラウドサービス商品です。
なお、下記に該当するものについては、対象外とさせていただきます。- サポート対象外の商品(体験版・試用版、サポートを終了した商品)
ご報告を頂いた後の弊社対応
脆弱性のご報告を受信した日を起点として5稼働日以内に、ご指定いただいたメールアドレスへご連絡させていただきます。なお、弊社所定休業日(年末年始休暇、夏季休暇、ゴールデンウィーク等)の期間中はご連絡が遅れる場合がございます。
弊社製品に脆弱性が存在するかどうかを確認後、改めてご連絡いたします。脆弱性が存在する場合、修正のスケジュール、セキュリティアドバイザリの公開について調整させていただきます。
セキュリティアドバイザリの公開
公開にあたっては、報告者様、関係者との間で日程を調整した上で速やかに以下の下記当社ウェブサイトまたは、個別商品のユーザー専用ページにセキュリティアドバイザリを掲載いたします。
報奨
弊社ではご報告の内容に関わらず、報奨は提供しておりません。