1. 소개
보안은 당사 운영의 기본입니다. 잠재적 취약점을 식별하고 해결하는 데 도움을 주는 보안 연구자, 윤리적 해커 및 커뮤니티의 신고를 환영합니다. 본 정책은 보안 문제를 책임감 있게 신고하는 방법과 당사에 기대할 수 있는 사항을 설명합니다.
2. 범위
본 정책은 unofax.com 웹 애플리케이션 및 관련 API에서 발견된 취약점에 적용됩니다. 다음은 범위에 포함되지 않습니다:
• 제3자 서비스(예: Square 결제 처리, Google Analytics)
• unofax 직원이나 사용자를 대상으로 한 소셜 엔지니어링 또는 피싱 공격
• 서비스 거부(DoS/DDoS) 공격
• 물리적 보안 문제
• unofax가 소유하지 않는 소프트웨어나 인프라의 취약점
3. 신고 방법
잠재적 보안 취약점을 발견하신 경우 support@unofax.com으로 이메일을 보내 신고해 주세요. 가능한 한 자세한 정보를 포함해 주세요:
• 취약점과 잠재적 영향에 대한 설명
• 문제를 재현하는 단계
• 지원 증거(스크린샷, 개념 증명 코드, 로그)
• 이름과 연락처(선택 사항이지만 후속 조치에 도움이 됩니다)
4. 당사의 약속
본 정책에 따라 선의로 취약점을 신고하시면 당사는 다음을 약속합니다:
• 신고 접수를 영업일 기준 3일 이내에 확인
• 영업일 기준 10일 이내에 초기 평가 제공
• 문제 해결 진행 상황을 알려드림
• 본 정책을 준수하여 수행한 연구 활동에 대해 법적 조치를 취하지 않음
• 취약점을 공개적으로 해결할 때 귀하에 대한 크레딧 표시(희망하는 경우)
5. 연구자 가이드라인
책임감 있는 연구를 위해 다음 가이드라인을 준수해 주세요:
• 다른 사용자에게 속한 데이터에 접근, 수정 또는 삭제하지 마세요
• unofax 서비스의 가용성을 방해하거나 저하시키지 마세요
• 당사가 문제를 해결할 합리적 기회를 갖기 전에 취약점을 공개하지 마세요
• 선의로 행동하고 unofax 또는 사용자에게 해를 끼칠 수 있는 행동을 피하세요
• 귀하가 소유하거나 명시적 허가를 받은 계정에 대해서만 테스트하세요
6. 면책 조항
당사는 본 정책에 따라 수행된 보안 연구를 승인된 것으로 간주하며 이 가이드라인을 준수하는 연구자에 대해 법적 조치를 취하지 않습니다. 본 정책을 준수하여 수행한 활동에 대해 제3자가 귀하에 대해 법적 조치를 개시하는 경우 당사는 귀하의 행위가 승인되었음을 알리기 위해 합리적인 조치를 취합니다.
7. 제외 사항
다음 유형의 발견 사항은 일반적으로 본 정책에 따른 검토 대상이 아닙니다:
• 실증 가능한 공격으로 이어지지 않는 누락된 보안 헤더
• 민감한 작업이 없는 페이지의 클릭재킹
• 셀프 XSS(사용자 자신의 세션에만 영향을 미치는 크로스사이트 스크립팅)
• 악용 가능성 입증 없는 레이트 리미팅 누락
• 구형 브라우저나 플러그인이 필요한 취약점
• 수동 검증 없이 자동 스캔으로 발견된 문제
8. 연락처
모든 신고 및 문의는 support@unofax.com으로 이메일을 보내주세요.