Vulnerability Disclosure Policy

Socialinsider - un prodotto Code Path SRL

Socialinsider si impegna a garantire la sicurezza dei suoi utenti proteggendo le loro informazioni. Questa policy fornisce indicazioni ai ricercatori di sicurezza su come condurre attività di individuazione delle vulnerabilità e su come segnalarle a noi.

Questa policy descrive quali sistemi e tipi di ricerca sono inclusi, come inviarci segnalazioni di vulnerabilità e quanto tempo chiediamo ai ricercatori di sicurezza di attendere prima di rendere pubbliche le vulnerabilità. Ti invitiamo a contattarci per segnalare eventuali vulnerabilità nei nostri sistemi.

Se rispetti questa policy in buona fede durante la tua ricerca di sicurezza, considereremo autorizzata la tua attività e collaboreremo con te per capire e risolvere rapidamente il problema. Socialinsider non raccomanderà né intraprenderà azioni legali in relazione alla tua ricerca. Se un terzo avviasse un'azione legale contro di te per attività svolte in conformità a questa policy, renderemo nota la nostra autorizzazione.

Linee guida

Secondo questa policy, “ricerca” significa attività in cui tu, come security researcher:

  • Avvisa il prima possibile dopo aver scoperto qualsiasi problema di sicurezza.
  • Fai tutto il possibile per evitare violazioni della privacy, peggioramento della user experience, interruzioni ai sistemi di produzione e distruzione o manipolazione dei dati.
  • Usa gli exploit solo quanto necessario per confermare la vulnerabilità. Non usare exploit per compromettere o esfiltrare dati, ottenere accesso persistente alla command line o spostarti su altri sistemi.
  • Concedi un tempo ragionevole per risolvere il problema prima di renderlo pubblico.
  • Non inviare un alto numero di report di bassa qualità.

Per aiutarci a comprendere i report ti consigliamo che la tua segnalazione:

  • Descriva dove è stata scoperta la vulnerabilità e il potenziale impatto dello sfruttamento.
  • Fornisca una descrizione dettagliata dei passaggi per riprodurre la vulnerabilità – sono utili screenshot o video.
  • Scrivi la segnalazione in inglese

Una volta che hai verificato l’esistenza di una vulnerabilità o hai trovato dati sensibili (come informazioni personali, finanziarie o segreti commerciali di qualsiasi parte), devi interrompere il test, avvisarci subito e non divulgare questi dati a nessun altro.

Pratiche vietate

I seguenti metodi di test non sono autorizzati:

  • Test di denial of service (DoS o DDoS) o altri test che impediscono l’accesso ai sistemi
  • Test di vulnerabilità non tecnici

Questa policy si applica ai seguenti sistemi e servizi:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Qualsiasi servizio non espressamente elencato sopra, compresi eventuali servizi collegati, è escluso dall’ambito e non è autorizzato per i test.
Inoltre, le vulnerabilità rilevate nei sistemi dei nostri fornitori non rientrano in questa policy e vanno segnalate direttamente al fornitore secondo la sua disclosure policy (se presente).
Se non sei sicuro che un sistema sia incluso o meno, contattaci su security@socialinsider.io prima di iniziare la tua ricerca.

Se pensi che un sistema escluso meriti comunque un test, contattaci prima per parlarne. L’ambito di questa policy può essere ampliato nel tempo.

Segnala una vulnerabilità

Le informazioni inviate secondo questa policy saranno utilizzate solo a fini difensivi: per mitigare o risolvere vulnerabilità.

Se le tue segnalazioni includono vulnerabilità scoperte di recente che coinvolgono tutti gli utenti di un prodotto o servizio e non solo Socialinsider, potremmo condividere il tuo report con terze parti. In quel caso, verrà gestito secondo il loro processo di disclosure coordinata delle vulnerabilità.

Non condivideremo le tue informazioni di contatto senza il tuo esplicito consenso.
Accettiamo segnalazioni di vulnerabilità via security@socialinsider.io. Puoi inviare report anche in modo anonimo.

Se decidi di condividere i tuoi dati di contatto con noi, ci impegniamo a coordinare apertamente e tempestivamente ogni comunicazione con te.

  • Entro 7 giorni lavorativi confermiamo la ricezione del tuo report.
  • Ti confermeremo la vulnerabilità rilevata e saremo il più trasparenti possibile sui passi che stiamo compiendo per risolvere il problema
  • Rimarremo in contatto su tutte le questioni segnalate.