セキュリティポリシー
最終更新日: 2026-05-13
私たちはセキュリティを重視しています。このポリシーでは、脆弱性の報告方法、私たちの対応、および対象範囲について詳しく説明します。セキュリティ研究者向けの正規のメタデータは /.well-known/security.txt (RFC 9116) にも公開されています。
1. 報告方法
[email protected] へのメール(PGPキーはリクエストに応じて提供)、または https://hackerone.com/elido でプライベートな報告を作成してください。どちらのルートも同じオンコールキューに届きます。再現手順、影響を受けるURL/エンドポイント、および確認された影響を含めてください。修正が完了するまで、詳細を公開しないでください。
2. レスポンス SLA
初期レスポンス:24時間以内。 重要度の評価を伴うトリアージ:5営業日以内。 解決目標:高/緊急は14日以内、中/低は30日以内。修正にそれ以上の時間が必要な場合(サードパーティ製依存関係の待機など)、週次で状況をアップデートします。
3. 対象範囲
elido.app(マーケティング)、app.elido.app(ダッシュボード)、api.elido.app(REST + GraphQL)、elido.me / f.elido.me / s.elido.me / b.elido.me(リダイレクト層)、docs.elido.app、Elido の iOS および Android アプリ、elidoapp/elido-* npm パッケージ、および Elido MCP サーバー(packages/mcp-server)が対象です。
4. 対象外
当社が利用するサードパーティサービス(当社の認証・アイデンティティプロバイダー、サポートチャットプロバイダー、Cloudflare、Anthropic、monobank Plata、Coinbase Commerce、WorkOS、Resend)については、直接各サービスへ報告してください。レート制限のあるエンドポイントへのブルートフォース攻撃(当社でテスト済みです)、Elido スタッフへのソーシャルエンジニアリング、ボリュメトリック/DoS攻撃、Elido 以外の悪意のあるソフトウェアのインストールに依存する発見、短縮リンク自体を介したオープンリダイレクト(これはサービスの仕様です)は対象外です。
5. セーフハーバー
このポリシーを遵守するために誠実な努力を払っていただける場合、当社は法的措置を講じることはなく、問題の理解と解決に向けて協力いたします。具体的には、自身が所有するアカウントに対するテストであること、本番データを流出させないこと、他の顧客に影響を与えないこと、修正がリリースされる前に情報を公開しないことが含まれます。
6. 報酬
Elido は HackerOne で有償のバグバウンティを実施しています。報酬の目安 (USD):緊急 $3000、高 $1500、中 $500、低 $200、些細な問題 $50 相当のグッズ。最終的な金額は、報告の影響、新規性、および品質によって決まります。また、ご本人の同意がある場合、報酬のない有効な開示内容を /legal/security-acknowledgments に掲載します。
7. 謝辞
ご協力いただいた研究者の皆様を /legal/security-acknowledgments で公開し、その功績を称えます。掲載するハンドルネームまたは実名は選択可能で、掲載は問題の修正後となります。