Panoramica
In Edovia, la sicurezza è una priorità e accogliamo con favore le segnalazioni responsabili di vulnerabilità da parte di ricercatori di sicurezza e del pubblico. Se ritieni di aver trovato un problema di sicurezza, un problema di privacy o dati esposti nei nostri prodotti o servizi, ti invitiamo a condividerli con noi. Questo documento descrive come segnalare problemi di sicurezza, i nostri impegni e le nostre aspettative.
Ambito
Questa politica si applica a:
- Software e prodotti Edovia
- Servizi e infrastrutture gestiti da Edovia
- Documentazione relativa ai nostri prodotti
Esclusioni
I seguenti tipi di segnalazioni sono al di fuori dell'ambito di questa politica:
- Problemi di sicurezza fisica (ad esempio, accesso all'ufficio, ingresso non autorizzato)
- Attacchi di ingegneria sociale (ad esempio, phishing, tentativi di impersonificazione)
- Problemi nei sistemi non elencati esplicitamente nella sezione Ambito
- Problemi estetici (ad esempio, bug UI/UX senza impatto sulla sicurezza)
- Errori tipografici
- Vulnerabilità Denial of Service (DoS/DDoS)
- Servizi di terze parti non gestiti da Edovia
Se scopri un problema in un sistema fuori dall'ambito, ti invitiamo a segnalarlo al fornitore o all'organizzazione appropriata.
Cosa puoi aspettarti da noi
Quando segnali un problema di sicurezza valido in buona fede, noi:
- Riconosceremo la tua segnalazione e inizieremo la valutazione il più rapidamente possibile
- Ti terremo informato sullo stato della tua segnalazione mentre è in fase di revisione
- Lavoreremo per risolvere le vulnerabilità di sicurezza in base alla loro gravità e impatto
- Forniremo protezione Safe Harbor quando la divulgazione segue le linee guida di questa politica
Linee guida per la divulgazione responsabile
Per garantire un processo di divulgazione responsabile ed efficace, ti chiediamo di:
- Seguire questa politica e tutti i termini applicabili quando si esaminano problemi di sicurezza
- Segnalare tempestivamente i risultati ed evitare azioni che potrebbero interrompere i servizi o gli utenti
- Limitare i test a quanto necessario per dimostrare un problema
- Utilizzare canali ufficiali per comunicare problemi di sicurezza
- Darci un ragionevole lasso di tempo per risolvere il problema prima della divulgazione pubblica
- Testare solo i sistemi nell'ambito ed evitare qualsiasi target esplicitamente escluso
- Utilizzare account di prova di tua proprietà o di cui hai l'autorizzazione esplicita
- Astenersi da qualsiasi azione che potrebbe essere interpretata come estorsione o richiesta di risarcimento
Segnalazione di problemi di sicurezza
Per segnala un problema di sicurezza, utilizza il seguente canale ufficiale:
https://edovia.com/.well-known/security.txt
Più dettagli fornisci, più velocemente potremo valutare e risolvere il problema.
Safe Harbor
Se conduci ricerche sulla sicurezza in buona fede e in linea con questa politica, noi:
- Considereremo la tua ricerca autorizzata dalle leggi anti-hacking applicabili
- Non intraprenderemo azioni legali per violazioni involontarie della politica
- Non applicheremo le leggi anti-elusione ai tuoi test
- Tratteremo i tuoi risultati come uno sforzo per migliorare la sicurezza, non come una violazione dei nostri termini
Se una terza parte intraprende un'azione legale contro di te per una ricerca allineata con questa politica, comunicheremo che le tue azioni hanno seguito i principi di divulgazione responsabile.
Se non sei sicuro che i tuoi test siano allineati con questa politica, ti preghiamo di contattarci prima di procedere.
Nota: Safe Harbor si applica solo alle rivendicazioni legali sotto il controllo di Edovia e non si estende a terze parti indipendenti.
Programma di ricompense
Si prega di notare che Edovia non partecipa a programmi di bug bounty o di ricompense. Apprezziamo le segnalazioni responsabili di vulnerabilità, ma attualmente non offriamo compensi monetari né altri incentivi.