資安通報政策
最後更新日:2026-06-09
群兆資訊有限公司(以下簡稱「本公司」)非常重視資訊安全。我們歡迎來自外部資安研究人員、客戶與一般使用者協助找出 megapower.asia 及本公司線上服務中可能存在的漏洞。本頁面說明通報管道、處理時程,以及本公司對於善意揭露行為的立場。
一、通報管道
如果您發現任何疑似資安漏洞,請寄送詳細描述至:
security@megapower.asia
請盡可能在通報內容中提供:
- 漏洞所在的網址或系統位置
- 重現步驟(含瀏覽器、作業系統或所使用之工具)
- 潛在影響範圍與您的初步評估
- 截圖、HTTP request / response、或其他佐證資料
本公司接受以 PGP 加密之通報,但目前並未強制要求。沒有 PGP key 也可以直接以純文字寄信,本公司一樣會處理。 如果您希望本公司公開 PGP 公鑰,請於通報中註明,我們會優先補上。
二、預期回應時間
- 一般漏洞通報:本公司預期於 3 個工作天內回覆並確認收件
- 嚴重漏洞(涉及客戶資料外洩、系統完整性、或可造成大量影響者):預期於 24 小時內提供初步回應
- 後續修補時程依漏洞嚴重程度而定,本公司會主動更新通報者進度,直到問題排除為止
如果您於上述時程內未收到回覆,請再次來信確認,避免郵件被歸類為垃圾訊息而漏接。
三、揭露原則(請與本公司協作)
為了讓本公司有合理時間修補、並保護其他使用者,請您於公開揭露漏洞前先與本公司溝通,並遵守以下原則:
- 協作揭露:建議於通報後給予本公司至少 90 天完成修補,再進行公開揭露;如涉及第三方廠商可能需要更長時間,本公司會主動說明
- 不破壞性測試:不刪除、不修改本公司或其他客戶之任何資料;不執行 denial-of-service 攻擊
- 不橫向擴張:發現漏洞後請立即停止測試,不嘗試存取其他帳號、其他客戶之資料、或非預期之系統
- 不使用社交工程:不對本公司員工、客戶或合作夥伴實施釣魚、假冒或實體入侵
- 適用範圍:本政策涵蓋
*.megapower.asia與本公司直接營運之 SaaS 工具及客戶服務系統;對於本公司客戶端內部環境,請另行通報本公司客服窗口
四、不追究善意研究人員
對於遵循上述原則、以善意(good faith)進行測試與通報之資安研究人員,本公司不會提出法律追訴、不會通報執法單位、亦不會要求民事賠償。
「善意」是指:以協助本公司改善資安為目的,未造成資料外洩、未濫用所發現之漏洞、未對外散布未經修補之細節。
五、致謝與獎勵
本公司會於漏洞修補完成後,公開致謝協助通報之研究人員(除非您要求匿名)。具體致謝方式可於通報時與本公司討論。
目前本公司為中小型企業,尚未提供金錢獎勵或正式 bug bounty 計畫。如未來開放,將更新本頁面說明。
對於提供高品質、可重現之通報,本公司會主動評估其他形式之回饋(例如本公司服務之優惠、紀念品等)。
如有任何關於本通報政策本身之疑問,亦歡迎來信 security@megapower.asia 與本公司聯繫。