SHUA Team

Politica sulla divulgazione delle vulnerabilità

1. Introduzione

SHUA si impegna a garantire la sicurezza e l’integrità dei propri prodotti e servizi. La presente Politica di segnalazione delle vulnerabilità descrive la procedura attraverso la quale soggetti esterni possono segnalare potenziali vulnerabilità di sicurezza in modo responsabile e coordinato.

Apprezziamo l’impegno dei ricercatori nel campo della sicurezza e di chiunque altro identifichi vulnerabilità e le segnali in buona fede, in conformità con la presente politica. Si prega di notare che non offriamo alcun compenso economico per la segnalazione di vulnerabilità.

2. Scopo

La presente politica si applica a tutti i prodotti e servizi digitali forniti da SHUA in cui potrebbero verificarsi vulnerabilità di sicurezza.

3. Segnalazione di una vulnerabilità

Se avete individuato una vulnerabilità di sicurezza, vi preghiamo di segnalarcela tramite

Email: info@shuafitness.it

Quando inviate una segnalazione, vi preghiamo di fornire le seguenti informazioni per consentire una valutazione efficace:

  • L’URL, l’indirizzo IP o il prodotto/sistema in cui è stata rilevata la vulnerabilità
  • Una breve descrizione del tipo di vulnerabilità
  • Istruzioni dettagliate per riprodurre il problema, preferibilmente utilizzando un proof-of-concept non distruttivo

4. Cosa aspettarsi

Una volta ricevuta la tua segnalazione, provvederemo a:

  • Confermare la ricezione entro 5 giorni lavorativi
  • Valutare la vulnerabilità entro 10 giorni lavorativi, ove possibile
  • Fornire aggiornamenti sullo stato almeno ogni 14 giorni mentre sono in corso le attività di risoluzione
  • Vi informeremo non appena la vulnerabilità sarà stata risolta e, se del caso, vi inviteremo a verificare la risoluzione
  • Ci coordineremo con voi qualora venisse richiesta una divulgazione pubblica, al fine di garantire che le indicazioni fornite agli utenti siano coerenti

5. Regole di ingaggio

Non devi:

  • Impegnarsi in attività che violino leggi o regolamenti applicabili
  • Accedere, modificare o distruggere dati che non ti appartengono
  • Utilizzare strumenti di scansione ad alto impatto o tecniche di denial-of-service
  • Interrompere, compromettere o interferire con i sistemi o i servizi dell’organizzazione
  • Segnalare vulnerabilità non sfruttabili o deviazioni dalle migliori pratiche generali (ad es. intestazioni mancanti o suite di cifratura deboli)
  • Richiedere un compenso finanziario per la divulgazione delle vulnerabilità
  • Tentare di effettuare phishing, ingegneria sociale o attacchi fisici a dipendenti, appaltatori o infrastrutture
  • Condividere qualsiasi dettaglio della vulnerabilità al di fuori dei canali di comunicazione specificati nella presente politica

Devi:

  • Rispettare tutte le leggi vigenti in materia di protezione dei dati
  • Cancellare in modo sicuro tutti i dati raccolti durante la ricerca non appena non sono più necessari, oppure entro un mese dalla risoluzione del problema, a seconda di quale delle due condizioni si verifichi per prima
  • Astenersi dal pubblicare o discutere i dettagli della vulnerabilità senza previo accordo con SHUA

6. Considerazioni Legali

La presente politica è stata concepita per allinearsi alle migliori pratiche in materia di segnalazione responsabile delle vulnerabilità. Tuttavia, essa non autorizza ad agire in alcun modo che possa violare la normativa vigente o causare danni all’organizzazione, ai suoi utenti o ai suoi partner. Le segnalazioni inviate in buona fede non daranno luogo ad azioni legali, a condizione che il segnalante rispetti pienamente la presente politica.