Linee guida per la divulgazione delle vulnerabilità

Introduzione

In Ivalua, anche se non diamo il permesso di controllare attivamente la nostra infrastruttura, incoraggiamo la divulgazione responsabile di eventuali vulnerabilità che potrebbero essere riscontrate nei nostri sistemi o applicazioni. Queste linee guida forniscono indicazioni su come divulgare le vulnerabilità in modo responsabile e delineano cosa ci si possa aspettare da noi in termini di risposta.

Ambito

Le presenti linee guida si applicano a qualsiasi risorsa digitale posseduta, gestita o mantenuta da Ivalua, tra cui, a titolo esemplificativo ma non limitativo, siti web, applicazioni e database. Non viene rilasciata alcuna autorizzazione rispetto alle attività di seguito descritte come escluse (vedere "Esclusioni").

Queste linee guida non si applicano ai clienti Ivalua esistenti o agli Utenti Autorizzati. In caso di Utente Autorizzato, i test di sicurezza delle vulnerabilità, i diritti e le restrizioni di divulgazione sono solo quelli espressamente stabiliti nel contratto della sua Organizzazione con Ivalua.

Come divulgare una vulnerabilità

Per divulgare una vulnerabilità della sicurezza, attenersi alla seguente procedura:

• Invia tramite e-mail ciò che ha rilevato: invia un'e-mail a [e-mail protetta].
• Fornire informazioni dettagliate: includere quante più informazioni possibili sulla vulnerabilità, come:
  • L'URL o la posizione della vulnerabilità.
  • Una descrizione dettagliata della vulnerabilità.
  • Passaggi per riprodurre la vulnerabilità (script con dimostrazione di concetto o screenshot possono essere utili).
  • Qualsiasi potenziale impatto della vulnerabilità.
  • Mantenere la riservatezza: non rivelare la vulnerabilità ad altri finché non avremo avuto la possibilità di indagare e risolverla.

Cosa aspettarsi dopo aver segnalato una vulnerabilità

• Presa visione: cerchiamo di confermare la ricezione della segnalazione.
• Comunicazione: se ritenuto opportuno, manterremo la comunicazione in merito allo stato della segnalazione.
• Valutazione e convalida: i nostri team interni valuteranno e convalideranno la vulnerabilità segnalata.
• Correzione: valuteremo i risultati segnalati e correggeremo/mitigheremo le vulnerabilità convalidate in conformità con le nostre politiche e i nostri processi interni.
• Divulgazione: se necessario, ci coordineremo sui tempi e i dettagli di qualsiasi divulgazione pubblica.

Esclusioni

Le presenti linee guida non costituiscono una rinuncia ad alcun diritto che Ivalua avrebbe ai sensi della legge applicabile. Si prega di notare che testare o incoraggiare altri a testare i sistemi di terze parti senza autorizzazione è generalmente considerato un accesso non autorizzato ai sensi di varie leggi, come il Computer Fraud and Abuse Act (CFAA) negli Stati Uniti e leggi simili in altre giurisdizioni. Ciò può comportare responsabilità penali e civili sia per gli organizzatori che per i partecipanti per qualsiasi forma di test di sicurezza non autorizzato.

Di conseguenza, i seguenti metodi di verifica non sono autorizzati:

• Attacchi Denial of Service (DoS o DDoS).
• Attacchi fisici contro i nostri uffici o data center.
• Attacchi di ingegneria sociale e spam contro i nostri dipendenti, appaltatori o clienti.
• Scansione automatizzata delle risorse Ivalua.
• Qualsiasi altra attività che potrebbe interrompere, danneggiare o pregiudicare i nostri utenti o servizi.
• Tentativi di accesso da parte di utenti non autorizzati ai sistemi Ivalua.
• Tentativi di sfruttare qualsiasi vulnerabilità identificata o segnalata.

Informazioni di contatto

Per segnalazioni e/o domande relative alla presente informativa o al processo di segnalazione, contatta [e-mail protetta].