美国新泽西州拉威市股份有限公司默克公司责任漏洞披露计划

介绍

保护PM体育的患者、客户和员工免受网络威胁对于美国新泽西州拉威的默克公司（在美国和加拿大以外称为MSD）（“公司”）至关重要。PM体育致力于确保PM体育的数字产品和服务的安全。为了帮助实现这一目标，PM体育制定了一个负责任的漏洞披露计划，为向PM体育报告潜在安全漏洞的任何人提供明确的指导。

PM体育认可安全研究人员在创建安全可靠的数字生态系统方面做出的宝贵贡献。如果您在PM体育的数字产品或服务中发现了潜在的安全漏洞，PM体育鼓励您按照以下准则立即向PM体育报告。

披露计划指南

公司将与安全研究人员真诚合作，根据这些指导方针发现、测试和报告潜在的安全漏洞：

• 在尽最大努力的基础上，采取措施防止在研究过程中违反隐私或数据保护法、销毁数据以及中断或降级生产系统。
• 将您的研究限制在识别和向公司报告潜在安全漏洞的范围内。
• 不要试图利用该漏洞泄露数据或危害公司的系统。
• 在您的研究过程中，如果您遇到或获得了潜在的敏感、机密或专有信息，如个人身份信息（PII）、受保护的健康信息（PHI）或财务信息，PM体育要求您停止测试并将结果报告给PM体育。PM体育将采取一切合理措施验证您的报告。
• 不要在本计划范围之外的环境中进行任何测试，包括在可能危及患者安全和安保的临床环境中进行测试。有关该计划范围的详细信息，请参阅https://hackerone.com/msd. 
• 使用公司批准的沟通渠道报告潜在的安全漏洞，其详细信息在下面的“如何报告潜在安全漏洞”一节中提供。不要直接联系公司的员工、供应商或客户报告潜在的安全漏洞。
• 该计划需要公司的明确许可，才能公开披露提交的结果。未经PM体育明确书面同意，请勿公开披露您提交的详细信息。
• 目前，该公司没有运行漏洞赏金计划。通过PM体育的负责任漏洞披露计划提交的信息是自愿的，不会提供金钱奖励、赏金或其他形式的价值转移。  
• 公司不允许在适用法律禁止的范围内参与该计划，包括（但不限于）美国的贸易制裁和经济限制。

如何报告潜在的安全漏洞

如果您想报告潜在的安全漏洞，请访问https://hackerone.com/msd。您将被重定向到HackerOne，在那里您可以找到有关PM体育的政策和提交指南的更多信息，例如范围内和范围外组件、符合条件和不符合条件的漏洞以及报告最佳实践。PM体育将尽一切努力及时调查您的意见。