Policy di divulgazione responsabile

Prendiamo la sicurezza molto sul serio e apprezziamo il supporto della community per migliorare la protezione dei nostri sistemi.

Il nostro impegno

La sicurezza dei nostri sistemi e la protezione dei dati dei nostri clienti sono priorità assolute. Incoraggiamo i ricercatori in ambito sicurezza a segnalarci in modo responsabile qualsiasi vulnerabilità possano individuare.

Ambito

Questa policy copre il nostro sito web, le nostre applicazioni, i servizi online e le API accessibili pubblicamente.

Cosa ti chiediamo

Se scopri una vulnerabilità, ti chiediamo di:

• Contattarci immediatamente tramite i recapiti indicati nel nostro file security.txt
• Non divulgare la vulnerabilità pubblicamente prima che abbiamo avuto il tempo di correggerla
• Non sfruttare la vulnerabilità oltre quanto necessario per dimostrarla
• Non accedere, modificare o eliminare i dati di altri utenti
• Non compromettere i nostri servizi o la nostra infrastruttura

Il nostro impegno nei tuoi confronti

• Confermeremo la ricezione della tua segnalazione entro 3 giorni lavorativi
• Ti terremo informato sull’avanzamento della correzione
• Non intraprenderemo alcuna azione legale contro i ricercatori che agiscono in buona fede e nel rispetto di questa policy
• Ti citeremo (se lo desideri) nelle comunicazioni relative alla correzione

Vulnerabilità fuori ambito

I seguenti elementi non rientrano in questa policy:

• Attacchi di tipo denial of service (DoS/DDoS)
• Ingegneria sociale o phishing rivolti ai nostri dipendenti
• Attacchi fisici contro le nostre sedi o attrezzature
• Vulnerabilità presenti in servizi di terze parti da noi utilizzati

Contatti

I recapiti per segnalare una vulnerabilità sono disponibili nel nostro file security.txt.

Ti chiediamo di fornire il maggior numero possibile di dettagli: descrizione della vulnerabilità, passaggi per riprodurla, impatto potenziale e suggerimenti per la correzione.