Vulnerability Disclosure Policy

Socialinsider - a Code Path SRL product

Socialinsider is committed to ensuring the security of its users by protecting their information. This policy gives security researchers guidelines for conducting vulnerability discovery activities and instructions on how to submit vulnerabilities to us.

Questa policy descrive quali sistemi e tipi di ricerca sono coperti, come inviarci segnalazioni di vulnerabilità e quanto tempo chiediamo ai ricercatori di sicurezza di attendere prima di divulgare pubblicamente le vulnerabilità. Ti invitiamo a contattarci per segnalare potenziali vulnerabilità nei nostri sistemi.

Se ti impegni in buona fede a rispettare questa policy durante la tua ricerca sulla sicurezza, considereremo la tua ricerca autorizzata e collaboreremo con te per comprendere e risolvere il problema rapidamente. Socialinsider non intraprenderà o raccomanderà azioni legali relative alla tua ricerca. Se un terzo dovesse avviare un'azione legale contro di te per attività svolte in conformità con questa policy, comunicheremo la nostra autorizzazione.

Linee guida

Secondo questa policy, "ricerca" significa attività in cui tu, come security researcher:

  • Comunicaci il prima possibile qualsiasi problema di sicurezza scopri.
  • Fai tutto il possibile per evitare violazioni della privacy, peggioramento dell’esperienza utente, interruzioni dei sistemi di produzione e distruzione o manipolazione dei dati.
  • Usa exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità. Non usare exploit per compromettere o esfiltrare dati, stabilire accesso persistente da terminale o spostarti in altri sistemi.
  • Dacci un tempo ragionevole per risolvere il problema prima di divulgarlo pubblicamente.
  • Non inviare un alto numero di report di bassa qualità.

Per aiutarci a capire i report, ti consigliamo di:

  • Descrivere dove è stata rilevata la vulnerabilità e il potenziale impatto dello sfruttamento.
  • Fornire una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilità: screenshot o video sono utili.
  • Scrivere la segnalazione in inglese

Se confermi l’esistenza di una vulnerabilità o trovi dati sensibili (inclusi dati personali identificabili, informazioni finanziarie o proprietà riservate o segreti commerciali di qualsiasi parte), interrompi subito il test, avvisaci immediatamente e non divulgare questi dati a nessun altro.

Pratiche vietate

I seguenti metodi di test non sono autorizzati:

  • Test di denial of service (DoS o DDoS) o altri test che compromettono l’accesso ai sistemi
  • Test di vulnerabilità non tecnici

Questa policy si applica ai seguenti sistemi e servizi:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Tutti i servizi non espressamente elencati sopra, inclusi eventuali servizi collegati, sono esclusi dallo scope e non sono autorizzati ai test.
Inoltre, eventuali vulnerabilità rilevate nei sistemi dei nostri fornitori sono fuori dallo scope di questa policy e vanno segnalate direttamente al fornitore secondo la sua policy di disclosure (se presente).
Se non sei sicuro che un sistema sia compreso nello scope, contattaci a security@socialinsider.io prima di iniziare la tua ricerca.

Se pensi che un sistema fuori dallo scope meriti un test, contattaci prima per discuterne. Lo scope di questa policy può essere ampliato nel tempo.

Segnala una vulnerabilità

Le informazioni inviate secondo questa policy saranno usate solo a fini difensivi, per mitigare o risolvere le vulnerabilità.

Se le tue scoperte includono vulnerabilità appena individuate che interessano tutti gli utenti di un prodotto o servizio e non solo Socialinsider, potremmo condividere il tuo report con terze parti, che lo gestiranno secondo le loro procedure di divulgazione coordinata delle vulnerabilità.

Non condivideremo le tue informazioni di contatto senza il tuo esplicito consenso.
Accettiamo segnalazioni di vulnerabilità tramite security@socialinsider.io. Puoi inviare le segnalazioni anche in modo anonimo.

Quando scegli di condividere le tue informazioni di contatto con noi, ti garantiamo la massima trasparenza e rapidità nella comunicazione.

  • Entro 7 giorni lavorativi confermeremo la ricezione della tua segnalazione.
  • Confermeremo la presenza della vulnerabilità e saremo il più trasparenti possibile sulle azioni intraprese durante la risoluzione.
  • Resteremo in contatto con te per aggiornarti sulle problematiche.