Suuntoでは、当社のウェブサイトが「Web Content Accessibility Guidelines (WCAG) 2.0」の適合レベルAAに準拠することを目標とし、WCAG 2.0と国際協調したその他の標準規格に準拠することで、アクセシビリティの確保と向上に取り組んでいます。当ウェブサイト上の情報へのアクセスに問題がある場合など、アクセシビリティに関するお問い合わせは、カスタマーサービスまでご連絡ください。カスタマーサービス電話番号:米国 +1 855 258 0900(フリーダイヤル)

Suunto 責任ある情報開示ポリシー

Suunto は、当社のデバイスやサービスをご利用になるすべてのお客様の安全とセキュリティを確保することに努めています。一般的に、当社のデバイスやサービスに確認された脆弱性を修正するセキュリティ更新プログラムは、デバイスまたはサービスが最初に販売または商業利用向けに提供されてから最低 2 年間提供されます。特定された脆弱性については、すべてのお客様からの報告をお願いしております。責任ある方法で当社に開示していただくよう、ご協力をお願いいたします。

この脆弱性開示ポリシーは、お客様が当社への報告を検討されているすべての脆弱性に対して適用されます。脆弱性を報告する前に、この脆弱性開示ポリシーをよくお読みになり、常にそれに従って行動することをお勧めします。

当社は、このポリシーに従って、時間と労力を割いてセキュリティ脆弱性を報告していただける方を尊重しております。ただし、脆弱性に関する情報開示に対して金銭的な報酬は提供しておりません。

# 報告

セキュリティ上の脆弱性を見つけたと判断した場合は、 security@suunto.com まで電子メールでご報告ください。

報告書には、以下の詳細を明記してださい。

  • 脆弱性が確認できる特定のデバイス、Web サイト、IP アドレス、ページ。
  • 脆弱性の種類についての簡単な説明。例: 「XSS 脆弱性」など。
  • 再現手順。これらは、無害で非破壊的な概念実証でなければなりません。 

これにより、報告書の優先順位付けを迅速かつ正確に行うことができます。また、重複した報告や、サブドメイン乗っ取りなどの脆弱性を悪用した悪意のある行為の可能性も低減されます。

セキュリティの問題の報告ではない場合は、お客様からのメッセージには対応いたしかねます。セキュリティ以外の問題 (Suuntoアプリアカウント、電子メールアドレス、パスワードに関する問題、紛失または盗難に遭ったデバイス、プライバシーに関する懸案事項など) については、 www.suunto.com/Support/ をご覧ください。

# 当社での対応

報告書を提出後、7 営業日以内に当社より報告書に対する回答をいたします。また、問題が解決するまで、最新の進捗状況を随時お知らせいたします。

修正の優先順位は、影響、重大度、悪用方法の複雑さに基づいて評価されます。脆弱性に関する報告は、優先順位付けや対処に時間がかかる場合があります。状況に関するお問い合わせには対応いたしますが、14 日間に 1 回を超える頻度でのお問い合わせはご遠慮いただきますよう、お願いいたします。これにより、当社の担当部署は修正作業に集中することができます。

報告された脆弱性が修正された際には、お客様に通知いたします。また、そのソリューションが脆弱性に対して適切に機能していることを確認していただくようお願いする場合があります。

お客様の脆弱性が解決された後、報告書の開示請求に対応いたします。

当社では、影響を受けるユーザーへのガイダンスを統一したいと考えておりますので、引き続き、公開に関してご協力をお願いいたします。

# ガイダンス

禁止事項:

  • 適用される法律または規制に違反する行為。
  • 不必要、過剰、または大量のデータにアクセスすること。
  • 当社のシステムまたはサービスのデータを修正すること。
  • 脆弱性を発見するために、負荷が高いの侵入型または破壊型のスキャンツールを使用すること。
  • あらゆる形態のサービス拒否攻撃の試みまたは報告 (例: 大量の要求でサービスを圧倒するなど)。
  • 当社のサービスまたはシステムを妨害すること。
  • 悪用できない脆弱性に関する詳細な報告、またはサービスが「ベストプラクティス」に完全に準拠していないことを示す報告 (例: セキュリティヘッダーが欠落しているなど) を提出すること。
  • TLS 構成の弱点を詳細に説明する報告書を提出すること (例:「脆弱な」暗号スイートのサポートや TLS1.0 のサポートの存在など)。
  • 公開されたポリシーに記載された方法以外の方法で脆弱性または関連情報を通知すること。
  • ソーシャルエンジニアリング、フィッシング、または物理的な攻撃により、Suunto の従業員やインフラを攻撃すること。
  • 脆弱性を開示するために金銭的補償を要求すること。

義務:

  • 常にデータ保護規則を遵守し、Suunto のユーザー、従業員、請負業者、サービス、またはシステムのプライバシーを侵害しないこと。たとえば、システムやサービスから取得したデータを共有、再配布したり、適切に保護しないことは禁止されています。
  • 調査中に取得したすべてのデータは、必要がなくなった時点、または脆弱性が解決された日から 1 か月以内のいずれか早い時点 (またはデータ保護法で別途定められている時点) で、確実に削除すること。

# 法的根拠

このポリシーは、一般的な脆弱性開示のベストプラクティスと適合するように策定されています。法律に反する行為、または Suunto やパートナー組織が法的義務に違反する可能性のある行為を許可するものではありません。