취약성 보고
Hyundai Motor America는 보안기술팀의 노고에 깊이 감사드리며, 현대자동차 미국법인 제품의 사이버 보안 취약점을 발견하고 해결할 수 있는 데 도움이 될 수 있는 모든 정보를 받고 있습니다. 당사는 제출된 모든 적법한 신고를 아래 지침에 따라 적시에 조사하고 조치를 취할 것입니다. 미국 외 지역에서 발견된 제품, 서비스, IT 환경취약점 및/또는 문제는 범위를 벗어난 경우로, 본 취약점 공개 프로그램에 신고할 수 없습니다.
본 프로그램 하에 신고함으로써 본인은 다음의 행위를 하지 않을 것임을 동의합니다.
· Hyundai Motor America와 그 임직원 및 고객, 현대자동차 탑승객, 또는 기타 제3자 개인 또는 주체(Hyundai Motor America와 관계된 딜러 및 딜러 직원 포함)에게 해를 끼칠 수 있거나 위험에 처하게 할 수 있는 테스트 또는 연구에 참여하는 일.
· 본인 소유가 아닌 차량 또는 데이터에 문제를 일으키거나 손상을 입히거나 피해를 주는 일.
· Hyundai Motor America와 그 임직원 및 고객, 현대자동차 탑승객, 기타 제3자 개인 또는 주체 소유의 개인정보에 접근하거나 개인정보를 공개하는 일.
· Hyundai Motor America와 그 임직원 및 고객, 현대자동차 탑승객, 또는 기타 제3자 개인 또는 주체(Hyundai Motor America와 관계된 딜러 및 딜러 직원 포함) 소유의 기밀 데이터 또는 사유 데이터를 손상하거나 공개하는 일.
· Hyundai Motor America의 자산 또는 시설에 대한 물리보안 테스트, Hyundai Motor America의 계열사나 관련 제3자의 자산 또는 시설에 대한 물리보안 테스트, Hyundai Motor America 제휴 딜러에 대한 물리보안 테스트.
· 각종 디도스 테스트 또는 IT 기능의 지나친 소모
· 사회공학적 해킹, 스팸 또는 피싱/스피어 피싱 공격.
· 미국 이외의 지역에 위치한 시스템 또는 기술에 대한 실험 또는 연구.
· 문제가 발견될 시에 Hyundai Motor America에서 이를 바로 잡을 수 있는 완벽한 복원책을 확인하기도 전에 신고 및 제출한 취약점의 세부 내용을 제3자에게 공개하는 일.
· Hyundai Motor America나 계열사 또는 Hyundai Motor America 공급업체의 직원이거나 Hyundai Motor America 직원의 대리인으로서 신고에 참여하거나 신고 내용을 제출하는 일. 본인의 직장이라면, 우선 경영진에게 신고해서 경영진이 현대자동차 Hyundai Motor America에 직접 신고하게 하십시오.
Hyundai Motor America에서는 모든 신고 내용을 중요시합니다. 그러나 당사는 제출된 신고에 대한 금전적 보상('포상금') 또는 비금전적 보상을 제공하지 않습니다. 본 프로그램은 책임감 있는 신고를 통해 사이버 보안 취약점 해결을 용이하게 하는 데 그 목적이 있습니다.
신고 제출 시 다음의 사항을 따라주시기 바랍니다.
· 의심되는 취약점에 대한 설명과 함께 개념증명코드(proof-of-concept code)를 알려주시면 당사에서 신고 내용을 좀 더 신속하게 분석하고 분류할 수 있습니다.
· 어떤 방법을 사용하여 의심되는 취약점을 발견하셨는지, 또 잘 알려져 있거나 해결 가능성 높은 복원책을 사용했다면 어떤 것이었는지 설명해 주십시오.
· 미국 재무부가 지정한 특별제재대상자 목록 미국이 지정한 기타 금지 당사자 목록에 본인의 이름이 없는지 확인해 주셔야 합니다.
· 마지막으로, 본 프로그램과 관련된 모든 작업에 적용되는 법률 및 규정을 전면 준수합니다.
현대자동차 제품이나 서비스에 사이버 보안 취약점으로 여겨지는 문제를 발견하시면, DisclosureReporting@hmausa.com로 이메일 주시기 바랍니다. 신고해 주시는 즉시 응답 드리겠습니다. 신고를 제출함으로써, 본인은 Hyundai Motor America가 신고 정보를 적절한 방식으로 이용할 수 있음에 동의합니다. Hyundai Motor America에서는 신고 관리 시 해커원(HackerOne)의 서비스를 활용합니다. Hackerone.com/terms.