Forrester logo
Ivalua

Linee guida per la divulgazione delle vulnerabilità

Introduzione

In Ivalua, anche se non diamo il permesso di controllare attivamente la nostra infrastruttura, incoraggiamo la divulgazione responsabile di eventuali vulnerabilità che potrebbero essere riscontrate nei nostri sistemi o applicazioni.

Ambito

Le presenti linee guida si applicano a qualsiasi risorsa digitale posseduta, gestita o mantenuta da Ivalua, tra cui, a titolo esemplificativo ma non limitativo, siti web, applicazioni e database.

Queste linee guida non si applicano ai clienti Ivalua esistenti o agli Utenti Autorizzati. In caso di Utente Autorizzato, i test di sicurezza delle vulnerabilità, i diritti e le restrizioni di divulgazione sono solo quelli espressamente stabiliti nel contratto della sua Organizzazione con Ivalua.

Come divulgare una vulnerabilità

Per divulgare una vulnerabilità della sicurezza, attenersi alla seguente procedura:

  • Inviare i risultati tramite email: scrivere a .
  • Fornire informazioni dettagliate: includere quante più informazioni possibili sulla vulnerabilità, come:
    • L’URL o la posizione della vulnerabilità.
    • Una descrizione dettagliata della vulnerabilità.
    • Passaggi per riprodurre la vulnerabilità (script con dimostrazione di concetto o screenshot possono essere utili).
    • Qualsiasi potenziale impatto della vulnerabilità.
    • Mantenere la riservatezza: non rivelare la vulnerabilità ad altri finché non avremo avuto la possibilità di indagare e risolverla.

Cosa aspettarsi dopo aver segnalato una vulnerabilità

  • Presa visione: cerchiamo di confermare la ricezione della segnalazione.
  • Comunicazione: se ritenuto opportuno, manterremo la comunicazione in merito allo stato della segnalazione.
  • Valutazione e convalida: i nostri team interni valuteranno e convalideranno la vulnerabilità segnalata.
  • Correzione: valuteremo i risultati segnalati e correggeremo/mitigheremo le vulnerabilità convalidate in conformità con le nostre politiche e i nostri processi interni.
  • Divulgazione: se necessario, ci coordineremo sui tempi e i dettagli di qualsiasi divulgazione pubblica.

Esclusioni

Si prega di notare che testare o incoraggiare altri a testare i sistemi di terze parti senza autorizzazione è generalmente considerato un accesso non autorizzato ai sensi di varie leggi, come il Computer Fraud and Abuse Act (CFAA) negli Stati Uniti e leggi simili in altre giurisdizioni.

Di conseguenza, i seguenti metodi di verifica non sono autorizzati:

  • Attacchi Denial of Service (DoS o DDoS).
  • Attacchi fisici contro i nostri uffici o data center.
  • Attacchi di ingegneria sociale e spam contro i nostri dipendenti, appaltatori o clienti.
  • Scansione automatizzata delle risorse Ivalua.
  • Qualsiasi altra attività che potrebbe interrompere, danneggiare o pregiudicare i nostri utenti o servizi.
  • Tentativi di accesso da parte di utenti non autorizzati ai sistemi Ivalua.
  • Tentativi di sfruttare qualsiasi vulnerabilità identificata o segnalata.

Informazioni di contatto

Per qualsiasi segnalazione e/o domanda riguardante questa normativa o il processo di segnalazione, contattare .