Merkle 認為每個人在網際網路上都應該是安全和有保障的。Merkle 致力於維護我們的資產、系統及顧客數據的安全性。如果有人發現屬於 Merkle 的任何產品、系統或數據有任何潛在漏洞，我們鼓勵資安人員盡快與我們聯絡。如果您認為自己已發現潛在的資訊安全漏洞，請根據我們的政策提交該漏洞資訊。

非常感謝您的協助。Merkle 並未推出回報獎勵計畫，也未提供透過回報潛在問題換取獎勵或薪酬的制度。

負責任的揭露計畫指導方針

研究人員應確保在揭露潛在的漏洞時，他們：

• 並未從事會對 Merkle、Merkle 客戶或 Merkle 員工造成潛在或實際傷害的任何活動。  
• 並未從事會對 Merkle 服務或資產造成潛在或 實際降級 ，或讓這些服務或資產完全停止運作的任何活動。 
• 並未從事違反 (a) 適用之法律或法規的任何活動，或在 (i) 數據、資產或系統常駐、(ii) 路由數據流量或 (iii) (b) 或研究人員正在進行研究活動之任何國家/地區內從事違反其法律或法規的任何活動 
• 並未從事讓 Merkle 違反 (a) 適用之法律或法規的任何活動，或在 (i) 數據、資產或系統常駐、(ii) 路由數據流量或 (iii) (b) 或研究人員正在進行研究活動之任何國家/地區內從事讓 Merkle 違反其法律或法規的任何活動。 
• 並未儲存、分享、洩露或銷毀 Merkle 或任何顧客數據。若識別出任何個人資訊，您應立即停止活動、從您的系統移除相關數據，然後立即聯絡 Merkle。這對於保護任何潛在的數據資產，還有您來說相當重要。 
• 請勿進行詐欺金融交易。 
• 請勿將任何回報的問題揭露給第三方，或公開發佈此類已回報的問題 

根據上述準則行事並負責任地將您的發現交付給 Merkle 後，Merkle 即同意不會對您提出法律動作，除非因主管機關、其他第三方或適用之法律迫使我們這樣做 

提交報告後，Merkle 承諾將迅速確認收到所有報告（在任何情況下，自提交之日起不超過5個工作日）。在可能的情況下，如果您透過此計劃報告了經過驗證的漏洞，Merkle 將盡商業上合理的努力，適時地告知您該漏洞的處理進度。

提交格式

回報潛在的漏洞時，請納入詳細的漏洞摘要。這應包括下列資訊：  

• 目標  
• 步驟 
• 工具 
• 詳細描述  
• 您可包含螢幕擷取畫面，以闡述細節
  

超出範圍的安全漏洞

某些安全漏洞不在我們負責的揭露計畫範圍內。 超出範圍的安全漏洞包括但不限於： 

• 現場的實體測試 
• 社群。例如，嘗試竊取 Cookie、用於收集登入數據的偽造登入頁面 
• 網路釣魚 
• 阻斷服務攻擊 
• 資源耗盡攻擊