セキュリティポリシー

最終更新日 - 2018年6月

アマデウスはセキュリティを非常に真摯に捉えており、お客様のデータ保護に向けて懸命に取り組んでいます。当社は常に改善に向け尽力し、業界標準とベストプラクティスに従い、お客様のデータを安全かつ確実かつすぐに利用できる形で保護するよう取り組んでいます。

アマデウスは各ユーザーに一意のユーザー名とパスワードを提供します。お客様は、グローバルな拠点に柔軟性を提供するために必要とされる多要素認証、データ転送暗号化、安全なオフィス間のアクセスなど、お使いの製品に関するセキュリティレベルを選択することができます。

アマデウスは、ファイアウォールおよびその他の高度なセキュリティ技術を使用し、意図せぬ侵入者による妨害またはアクセスを防ぎます。

セキュリティ上の脆弱性の報告方法に関する情報をお求めのセキュリティ研究者は、以下の当社のポリシーをご確認ください。
 

脆弱性の報告ポリシー

アマデウスは独立系のセキュリティ研究者が今日のインターネット・セキュリティにおいて果たす大切な役割を認識しています。お客様のデータを安全に保つのは当社の最重要優先事項であり、何かしらの脆弱性を発見された場合にはご報告いただくよう願います。責任ある開示により、アマデウスは秘密かつ機密に潜在的なセキュリティ上の発見事項についての情報提供をお願いしており、結果、検証と対応を踏まえたうえで公開に踏み切ることが可能となるのです。加えて、アマデウスは、以下の条件を順守する限り、セキュリティ研究者たちを相手方に法的措置を講じることはないと誓約します。
 

潜在的なセキュリティ上の脆弱性の報告

セキュリティ研究者は、アマデウスのアプリケーションおよびセキュリティ・チームが問題を検証および再現できるよう、以下までメールを送信することにより、疑いのある脆弱性についての全詳細を機密かつ責任をもって開示してください。vulnerabilities@amadeus.com
 

アマデウスは、以下のタイプのセキュリティ調査を許可しません

  • 潜在的な脆弱性の利己的な利用 - 潜在的な脆弱性の報告のみ
  • サービス拒否攻撃 (DoS) または分散型サービス拒否攻撃 (DDoS) を発生させる、または試みる調査
  • 生産システム、アプリケーション、またはデータのサービス利用可能性に関するリスクを発生させる、または発生させるよう試みる調査
  • お客様に帰属しない、あるいは法律上または契約上アクセスの権限を持たないデータまたは情報へのアクセスまたはアクセスの試み
  • お客様に帰属しない、あるいは法律上または契約上のアクセス権限を持たないアプリケーションデータ、システムまたはネットワークデータまたは情報の破壊または破損、または破壊または破損の試み
  • アマデウスの社員、関係者、またはアマデウスの顧客に対するフィッシングまたはソーシャルエンジニアリング
  • 自動化スキャニングツールの実行
  • コミュニティシステムに関する現在の顧客または新規の見込み客のセキュリティ調査
     

アマデウスのセキュリティチームのコミットメント

上記のポリシーに従うすべてのセキュリティ研究者に対し、アマデウスのセキュリティチームは以下を実行するよう最大の努力を払います:

  • お客様の報告に適時に対応し、報告の受領を確認する
  • お客様の報告を厳重な機密をもって取り扱い、お客様の許可なしに第三者に個人情報を開示しない
  • アマデウスは、将来のある時点において脆弱性の発見を認知することがあります。ただし、セキュリティ研究者が匿名を保持を希望する場合にはそれを尊重します
     

無報酬

アマデウスはセキュリティの脆弱性を報告する人たちに対して報酬を支払いません。脆弱性マーケットプレイスにおける直接あるいは社外的いずれかによるそうした報酬の要請は上記ポリシー条件の違反と見なされます。そうした場合、アマデウスは自身の法的権利の全てを留保します。