Politica di divulgazione delle vulnerabilità
Se ritenete di aver trovato una vulnerabilità di sicurezza relativa a un prodotto o servizio STRONG, inviateci la vostra segnalazione.
Da: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Austria
Pubblicato nell'aprile 2024
Contenuti
- Introduzione
- Segnalazione
- Cosa aspettarsi
- Guida
- Legalità
Introduzione
Questa politica di divulgazione delle vulnerabilità si applica a tutte le vulnerabilità che si intende segnalare a STRONG. Raccomandiamo di leggere attentamente questa politica di divulgazione delle vulnerabilità prima di segnalarle e di agire sempre in conformità con essa.
Apprezziamo chi si prende il tempo e l'impegno di segnalare le vulnerabilità di sicurezza secondo questa politica. Tuttavia, non offriamo ricompense in denaro per la divulgazione delle vulnerabilità.
Segnalazione
Se ritenete di aver trovato una vulnerabilità di sicurezza, inviateci la vostra segnalazione utilizzando il seguente modulo di contatto e scegliendo la natura "Violazione della sicurezza": *****(link formula di contatto)*****
Cosa aspettarsi
Dopo l'invio della segnalazione, risponderemo entro 5 giorni lavorativi e cercheremo di risolvere il problema entro 10 giorni lavorativi. Ci impegniamo inoltre a tenervi informati sui nostri progressi.
La priorità per la bonifica viene valutata in base all'impatto, alla gravità e alla complessità dell'exploit. Le segnalazioni di vulnerabilità possono richiedere un certo tempo per il triage o la risoluzione, in alcuni casi la riparazione può richiedere fino a 90 giorni o più. Siete invitati a chiedere informazioni sullo stato, ma dovreste evitare di farlo più di una volta ogni 14 giorni. In questo modo i nostri team possono concentrarsi sulla risoluzione dei problemi.
Vi informeremo quando la vulnerabilità segnalata sarà stata rimediata e potreste essere invitati a confermare che la soluzione copre adeguatamente la vulnerabilità.
Una volta risolta la vulnerabilità, saremo lieti di richiedere la divulgazione della segnalazione. Vorremmo unificare le indicazioni per gli utenti interessati, quindi vi preghiamo di continuare a coordinare il rilascio pubblico con noi.
Guida
Non si deve:
- infrangere qualsiasi legge o regolamento applicabile
- accedere a quantità inutili, eccessive o significative di dati
- modificare i dati nei sistemi o nei servizi STRONG
- utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per trovare le vulnerabilità
- tentare o segnalare qualsiasi forma di negazione del servizio, ad esempio sovraccaricando un servizio con un elevato volume di richieste
- interrompere i servizi o i sistemi di STRONG
- presentare rapporti che illustrino vulnerabilità non sfruttabili o che indichino che i servizi non sono pienamente in linea con le "migliori pratiche", ad esempio la mancanza di intestazioni di sicurezza
- comunicare qualsiasi vulnerabilità o dettaglio associato in modo diverso da quello descritto nella presente Politica
- fare social engineering, "phish" o attaccare fisicamente il personale o l'infrastruttura dell'Organizzazione
- chiedere un compenso economico per divulgare eventuali vulnerabilità
È necessario:
- rispettare sempre le norme sulla protezione dei dati e non violare la privacy degli utenti, del personale, degli appaltatori, dei servizi o dei sistemi di STRONG. Non dovete, ad esempio, condividere, ridistribuire o non proteggere adeguatamente i dati recuperati dai sistemi o dai servizi.
- cancellare in modo sicuro tutti i dati recuperati durante la ricerca non appena non sono più necessari o entro 1 mese dalla risoluzione della vulnerabilità, a seconda di quale situazione si verifichi per prima (o come altrimenti richiesto dalla legge sulla protezione dei dati).
Legalità
Questa politica è stata concepita in modo da essere compatibile con le comuni buone pratiche di divulgazione delle vulnerabilità. Non vi autorizza ad agire in modo incompatibile con la legge o che possa causare all'Organizzazione o alle organizzazioni partner una violazione degli obblighi di legge.
Tuttavia, se viene avviata un'azione legale da parte di terzi contro l'utente e quest'ultimo ha rispettato la presente politica, possiamo adottare misure per rendere noto che le sue azioni sono state condotte in conformità con la presente politica.
Grazie per aver contribuito a mantenere STRONG e i nostri clienti al sicuro!