Politica di Divulgazione Responsabile di Credendo
Credendo considera la sicurezza dei propri sistemi una priorità assoluta. Per quanto impegno però si dedichi alla sicurezza dei sistemi, potrebbero comunque permanere delle vulnerabilità.
Qualora doveste riscontrare una vulnerabilità, vi invitiamo a segnalarcela in modo da poter intervenire il più rapidamente possibile. Vi chiediamo di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi e di non divulgarla pubblicamente prima di darci la possibilità di adottare le misure correttive del caso.
La presente Politica di Divulgazione Responsabile si applica a tutti i sistemi di Credendo. In caso di dubbi, contattateci scrivendo a vulnerability@credendo.com.
Al fine di evitare qualsiasi malinteso, qualsiasi uso improprio o divulgazione di informazioni riservate o tecniche relative ai nostri sistemi, compreso qualsiasi sfruttamento di vulnerabilità, è illegale e severamente vietato e potrebbe comportare l'adozione di azioni legali da parte di Credendo. La vostra collaborazione potrebbe ovviamente evitare tali misure e sarà molto apprezzata.
Nel caso in cui doveste riscontrare una vulnerabilità, vi preghiamo di attenervi alle seguenti istruzioni:
- Segnalatela inviando una e-mail con i vostri riscontri a vulnerability@credendo.com. Criptate le informazioni utilizzando la nostra chiave PGP al fine di evitare che tali informazioni critiche cadano in mani sbagliate;
- Non approfittatevi della vulnerabilità o del problema riscontrati, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellando o modificando i dati di altre persone;
- Non rivelate il problema ad altri fino a quando non è stato risolto;
- Non utilizzate attacchi alla sicurezza fisica, ingegneria sociale, denial of service distribuito, spam o applicazioni di terze parti;
- Fornite informazioni sufficienti per riprodurre il problema, in modo da permetterci di risolverlo il più rapidamente possibile. Generalmente, l’indirizzo IP o l‘URL del sistema interessato e una descrizione della vulnerabilità sono sufficienti, anche se potrebbero essere necessarie maggiori spiegazioni per vulnerabilità più complesse.
Il nostro impegno:
- Risponderemo alla segnalazione entro 15 giorni lavorativi fornendo una valutazione della segnalazione e una data prevista per la risoluzione della problematica.
- Se avete seguito le istruzioni sopra descritte e non siete in alcun modo coinvolti in comportamenti illegali o dannosi o non etici, non intraprenderemo alcuna azione legale nei vostri confronti in relazione alla segnalazione.
- La segnalazione verrà gestita in assoluta riservatezza, e non trasmetteremo i vostri dati personali a terzi senza il vostro consenso.
- Sarà nostra cura tenervi informati sui progressi nella risoluzione della vulnerabilità.
- Al momento della divulgazione pubblica del problema segnalato, citeremo il nome di chi ha scoperto il problema (a meno che non desideriate diversamente).
- Come segno della nostra gratitudine per la vostra collaborazione, offriamo una ricompensa per ogni segnalazione di un problema di sicurezza che non era ancora noto alla nostra azienda. Tuttavia, la politica di Credendo non consente ricompense monetarie di alcun tipo. La ricompensa precisa sarà determinata da Credendo in base alla gravità della fuga di notizie e alla qualità della segnalazione.
Ci impegniamo a risolvere tutti i problemi il più rapidamente possibile e vorremmo svolgere un ruolo attivo nella pubblicazione definitiva in merito al problema dopo che sarà stato risolto.