責任ある開示プログラムにご参加いただき、ありがとうございます。

カタウィキでは、システムのセキュリティを最優先事項と考えています。サービスの開発および提供において、セキュリティは重要な役割を果たしています。

以下に、カタウィキに質の高いバグ報告を提出するためのガイドラインを示します。これにより、効果的に問題に対処することが可能になります。

私たちが管理している資産には、https://www.catawiki.com や、https://www.catawiki.com マーケットプレイスへのログイン後に派生するページが含まれます。これは、直接管理していないサードパーティのアプリケーションは含みません。例えば、カタウィキドメインでホストされていないブログ、採用情報、マーケティングサイト、またはGCPやその他のクラウドプラットフォームの脆弱性などです。

お願いしたいこと

• ウェブサイトに適用されるCVEスコア付きの脆弱性があれば、その脆弱性と悪用方法を送ってください。
• 報告に動画や写真を添付していただけると、とても助かります！
• プラットフォーム内で悪意のあるファイルがアップロード可能な例を送ってください。
• 脆弱なネットワークポートやサービスの報告を送ってください。
• 検証やCSRFなどのセキュリティコントロールのバイパスや回避を可能にする脆弱性を送ってください。

してほしくないこと

• 概念実証（PoC）なしに、サードパーティのツールやスキャナーで報告された脆弱性を送らないでください。
• ブルートフォースや辞書攻撃、その他のパスワード推測によって悪用されるパスワード脆弱性を送らないでください。
• DDoSやその他のリソースを大量消費する攻撃を試みないでください。
• 脆弱性に簡単にスパム送信が含まれない限り、スパム攻撃を試みないでください。
• アカウント認証やパスワードポリシーに関連する脆弱性を送らないでください。
• Self-XSS攻撃に関連する脆弱性を送らないでください。
• カタウィキのドメイン名に対する証明書認証局承認（CAA）レコードの欠如に関連する脆弱性を送らないでください。

上記の行動規範に従わなかった場合、カタウィキは法的措置を取る権利を留保します。カタウィキのセキュリティ脆弱性通知に関するこの行動規範はオランダ法に準拠します。

また、BugCrowdプラットフォームは、カタウィキのサービスやプラットフォーム上のユーザー素材に関する質問や苦情には使用しないでください。システムのセキュリティ脆弱性に関係のない質問や苦情がある場合は、ヘルプセンターをさらにご確認いただき、必要に応じてカスタマーサポートチームにお問い合わせください。

責任ある開示プログラムに参加するには、BugCrowdでハッカーアカウントにサインインまたは登録してください。

データ保護

責任ある開示プログラムはカタウィキのプライバシー ポリシーに準拠しています。ただし、報告に対して処理される個人データは限定的であることにご注意ください。カタウィキは脆弱性報告のサポートにBugCrowdを利用しており、BugCrowdの認証情報を使って報告が行われます。アカウントをお持ちの場合、カタウィキはユーザー名を見ることができますが、アカウントに関連するその他の個人データは見られません。脆弱性報告に含まれるすべてのデータは、内部のチケッティングシステムで処理され、セキュリティチームおよび関連する技術スタッフがアクセス可能です。