Introduzione
In Ivalua, anche se non diamo il permesso di controllare attivamente la nostra infrastruttura, incoraggiamo la divulgazione responsabile di eventuali vulnerabilità che potrebbero essere riscontrate nei nostri sistemi o applicazioni.
Ambito
Le presenti linee guida si applicano a qualsiasi risorsa digitale posseduta, gestita o mantenuta da Ivalua, tra cui, a titolo esemplificativo ma non limitativo, siti web, applicazioni e database.
Queste linee guida non si applicano ai clienti Ivalua esistenti o agli Utenti Autorizzati. In caso di Utente Autorizzato, i test di sicurezza delle vulnerabilità, i diritti e le restrizioni di divulgazione sono solo quelli espressamente stabiliti nel contratto della sua Organizzazione con Ivalua.
Come divulgare una vulnerabilità
Per divulgare una vulnerabilità della sicurezza, attenersi alla seguente procedura:
- Inviare i risultati tramite email: scrivere a .
- Fornire informazioni dettagliate: includere quante più informazioni possibili sulla vulnerabilità, come:
- L’URL o la posizione della vulnerabilità.
- Una descrizione dettagliata della vulnerabilità.
- Passaggi per riprodurre la vulnerabilità (script con dimostrazione di concetto o screenshot possono essere utili).
- Qualsiasi potenziale impatto della vulnerabilità.
- Mantenere la riservatezza: non rivelare la vulnerabilità ad altri finché non avremo avuto la possibilità di indagare e risolverla.
Cosa aspettarsi dopo aver segnalato una vulnerabilità
- Presa visione: cerchiamo di confermare la ricezione della segnalazione.
- Comunicazione: se ritenuto opportuno, manterremo la comunicazione in merito allo stato della segnalazione.
- Valutazione e convalida: i nostri team interni valuteranno e convalideranno la vulnerabilità segnalata.
- Correzione: valuteremo i risultati segnalati e correggeremo/mitigheremo le vulnerabilità convalidate in conformità con le nostre politiche e i nostri processi interni.
- Divulgazione: se necessario, ci coordineremo sui tempi e i dettagli di qualsiasi divulgazione pubblica.
Esclusioni
Si prega di notare che testare o incoraggiare altri a testare i sistemi di terze parti senza autorizzazione è generalmente considerato un accesso non autorizzato ai sensi di varie leggi, come il Computer Fraud and Abuse Act (CFAA) negli Stati Uniti e leggi simili in altre giurisdizioni.
Di conseguenza, i seguenti metodi di verifica non sono autorizzati:
- Attacchi Denial of Service (DoS o DDoS).
- Attacchi fisici contro i nostri uffici o data center.
- Attacchi di ingegneria sociale e spam contro i nostri dipendenti, appaltatori o clienti.
- Scansione automatizzata delle risorse Ivalua.
- Qualsiasi altra attività che potrebbe interrompere, danneggiare o pregiudicare i nostri utenti o servizi.
- Tentativi di accesso da parte di utenti non autorizzati ai sistemi Ivalua.
- Tentativi di sfruttare qualsiasi vulnerabilità identificata o segnalata.
Informazioni di contatto
Per qualsiasi segnalazione e/o domanda riguardante questa normativa o il processo di segnalazione, contattare .