一、通报信息内容要求
请透过电子邮件提交下列信息,以利我们评估与初步处理:
- 受影响产品与版本(硬件/固件/软件)
- 问题类型与简要描述
- 技术细节与可能造成的影响
- 重现步骤与测试环境
- 概念验证(PoC)或其他佐证数据
请勿在报告中附含「破坏性测试脚本」或使用正式营运环境进行服务中断、数据删除等操作。
二、通报方式与安全传输建议
- 报告寄至:智易科技资安团队 security@arcadyan.com
- 若议题评估为高风险,请于邮件主旨加注「URGENT」,以利优先处理
- 若内容含智慧财产、机敏环境或个资等敏感信息,建议使用 PGP 加密或透过 HTTPS 表单上传报告文件,以确保传输安全。
三、善意通报免责承诺
依本政策善意提交报告,本公司确认您执行的安全研究属合法行为,不会因此对您提起法律请求或要求签订额外 NDA,亦不追究研究过程中正当范围内之侦测活动。
四、通报范围与禁止行为说明
-
适用范围
本政策适用智易科技发行之产品版本,包括开源元件或第三方整合模块存在的安全缺失。请勿对非智易科技管理之系统进行测试;如不确定,请先询问或以 URI/domain 标示通报。
-
不受理或禁止的行为
- 拒绝服务攻击(DoS)或大量扫描导致系统异常
- 社交工程、钓鱼或相关变形技术
- 故意修改、删除或破坏正式环境中的数据/设定
- 未经授权的商业勒索或任何影响他人系统稳定性的测试
对于上述行为,智易科技保留调查及采取法律行动的权利。
五、负责任揭露与情报同步方式
- 在补丁发布前,请勿公开漏洞技术细节,以免尚未更新的用户受到影响
- 若希望匿名或不公开组织/个人名称,请于报告中注明,我们将尊重并保护您的隐私
- 智易科技保有最终决定公开形式与时程(例如公告、技术文章)的权利,并会与通报者协调披露计划。