脆弱性の責任ある開示ポリシー（VDP）

私たちはセキュリティ研究を歓迎し、善意ある報告を受け付けています。現在、外部からのペネトレーションテストは受け付けていません。

対象範囲

• skyalo.com、*.skyalo.com

• Skyaloのモバイルアプリ（公開中の最新バージョン）

対象外: サードパーティサービス、DoS/フラッド、ブルートフォース、ソーシャルエンジニアリング、物理攻撃、スパム/DMARCレポート、影響のないバージョン情報の露出、影響が証明されていないクリックジャッキング、悪用に至らない欠落ヘッダー。

ルール

• 誠実に行動し、プライバシーの侵害やサービス劣化を避けてください。

• ご自身のアカウント/データのみを使用してください。

• ご自身のものではないデータを取得・改変しないでください。偶発的にアクセスした場合は、直ちに停止して当社へご連絡ください。

• 可用性や安定性に影響する自動スキャンは使用しないでください。

報告の送信方法

宛先: [email protected]、以下を添付してください:

• 影響を受けるホスト/エンドポイントと環境

• 明確な再現手順

• 最小限のPoC（HTTPリクエスト/レスポンス、スクリーンショット）

• 影響度と重大度の評価（CVSS v3.1推奨）

• テスト時間帯と送信元IP

機密情報をメールで送らないでください（認証情報、トークン、DBダンプ）— 機微な情報は必ずマスキングしてください。

セーフハーバー

このポリシーを遵守している限り、当社は法的措置を取りません。また、報告目的での行為は許可されたものとみなします。

報奨と表彰

現在、金銭的報奨はありません。確認済みで重複のない報告には、公開謝辞（Hall of Fame）と、ご希望に応じて感謝状をお送りします。重複報告は追加の表彰なしでクローズされる場合があります。クレジットは最初に有効と確認された報告者に付与されます。

対応期限とSLA

• 受領確認: 3営業日以内

• triage後のステータス: 審査結果に応じて

• 協調的開示: 修正リリースまで詳細の公開はお控えください（最長90日）

修正目標: Critical — 7日、High — 30日、Medium — 90日、Low — 計画に基づく。