Politica di segnalazione delle vulnerabilità del software

Introduzione

La presente politica di segnalazione delle vulnerabilità si applica a qualsiasi vulnerabilità che desideri segnalare a Trust International B.V.
Ti invitiamo a leggere integralmente questo documento prima di effettuare una segnalazione e ad attenerti alle sue indicazioni. Siamo grati a chiunque decida di dedicare tempo e competenze alla segnalazione di problemi di sicurezza conformemente alla presente politica. Tuttavia, non garantiamo alcun tipo di ricompensa economica per le segnalazioni.

Segnalazione

Se ritieni di aver trovato una vulnerabilità a livello di sicurezza, ti preghiamo di inviare la tua segnalazione al seguente indirizzo email: recall@trust.com

Nella segnalazione, includi i seguenti dettagli:

  • Elemento (indirizzo web, indirizzo IP, nome del prodotto o del servizio) in cui la vulnerabilità può essere riscontrata.
  • Titolo della vulnerabilità.
  • Descrizione della vulnerabilità (dovrebbe includere un riassunto, file di supporto e possibili azioni correttive o raccomandazioni).
  • Impatto (cosa potrebbe fare un hacker?).
  • Procedura per riprodurre il problema. I passaggi devono essere innocui, non distruttivi e costituire una prova di concetto. Ciò consente una gestione più veloce e accurata della segnalazione, limitando inoltre la possibilità di report duplicati o di abusi malevoli, ad esempio l'acquisizione indebita di sottodomini.

Cosa attendersi

Una volta ricevuta la tua segnalazione, ti risponderemo entro 5 giorni lavorativi e ci impegneremo a esaminarla entro 10 giorni lavorativi. Ti terremo inoltre aggiornato sullo stato di avanzamento.

La priorità per la risoluzione viene determinata considerando l'impatto, la gravità e la complessità della violazione. La valutazione e la risoluzione delle segnalazioni di vulnerabilità potrebbero richiedere tempo. Puoi chiedere aggiornamenti sullo stato della segnalazione, ma ti invitiamo a farlo non più di una volta ogni 14 giorni, in modo da permettere ai nostri team di concentrarsi sulla correzione.

Riceverai una notifica quando la vulnerabilità segnalata sarà stata corretta e potremmo invitarti a confermare che il problema sia stato risolto adeguatamente.

Dopo la risoluzione della vulnerabilità, siamo disponibili a prendere in considerazione richieste di divulgazione della tua segnalazione. In tal caso, ti chiediamo di collaborare con noi per uniformare le comunicazioni rivolte agli utenti interessati prima di rendere pubbliche le informazioni.

Linee guida

NON è consentito:

  • infrangere leggi o regolamenti applicabili;
  • accedere a dati non necessari o in quantità eccessive/significative;
  • alterare dati all'interno dei sistemi o servizi dell'Organizzazione;
  • utilizzare strumenti di scansione invasivi, distruttivi o ad alta intensità per individuare vulnerabilità;
  • tentare o segnalare qualsiasi forma di attacco di tipo denial of service, ad esempio sovraccaricando un servizio con un alto volume di richieste;
  • nterferire con il funzionamento dei servizi o sistemi dell'Organizzazione.

Divulgazione

Prima della divulgazione, provvederemo a svolgere le seguenti attività (ove applicabile):

  • valutazione e validazione della segnalazione ricevuta;
  • comunicazione con il segnalatore circa i tempi previsti per la mitigazione e la divulgazione (potremmo richiedere l'estensione del periodo di embargo);
  • coordinamento con eventuali altre parti coinvolte in una divulgazione multiparte;
  • assegnazione di uno o più identificativi CVE (Common Vulnerability Enumeration) per il monitoraggio;
  • condivisione con il segnalatore della strategia di risoluzione adottata;
  • pubblicazione, se appropriato, della segnalazione sul sito www.trust.com

Accordi con i clienti e aspetti giuridici

I diritti dei clienti in materia di garanzie, assistenza e manutenzione per i prodotti o servizi Trust International B.V. sono regolati esclusivamente dai nostri Termini e condizioni di vendita standard, unitamente a eventuali altri accordi applicabili tra Trust International B.V. e il singolo cliente.

Nulla di quanto contenuto nel presente documento modifica o estende i diritti esistenti del cliente, né crea nuove garanzie, espresse o implicite. Qualsiasi informazione inviata a Trust International B.V. in merito a potenziali vulnerabilità, compresi i dettagli di una segnalazione di vulnerabilità, diventerà di esclusiva proprietà di Trust International B.V. e potrà essere utilizzata a nostra discrezione, senza alcun obbligo di compenso o riconoscimento nei confronti della parte che l'ha fornita.