Zero Gravity: Ace the VMCE Exam with Object First Ace Jonah May | Join us >>
Richiedi una demo

Last update: Aug 21st 2024

Politica di divulgazione delle vulnerabilità di Object First

Introduzione 

Object First si impegna ad aiutare i nostri partner e clienti a ridurre il rischio associato alle vulnerabilità di sicurezza nei nostri prodotti. In linea con il nostro impegno verso il giuramento Secure by Design di CISA, ci impegniamo a mantenere le migliori pratiche del settore nella gestione della sicurezza e delle vulnerabilità e miriamo a fornire ai clienti informazioni tempestive, orientamenti e opzioni di mitigazione per affrontare le vulnerabilità. 

Gestione dei Rapporti sulle Vulnerabilità 

Valutiamo le intuizioni dei partner del settore e dei ricercatori di sicurezza e apprezziamo tutti i contributi alle nostre iniziative di sicurezza. Il nostro obiettivo è garantire che rimedi e/o strategie di mitigazione siano disponibili al momento della divulgazione delle vulnerabilità specifiche di Object First e di collaborare con fornitori terzi quando la remediation richiede la loro collaborazione. 

Se credi di aver scoperto una vulnerabilità, un problema di privacy, dati esposti o altri problemi di sicurezza in uno dei nostri asset, vogliamo sentirti. Questa politica delinea i passaggi per segnalarci le vulnerabilità, cosa ci aspettiamo e cosa puoi aspettarti da noi. 

Secondo questa politica, tutte le informazioni divulgate riguardo a nuove vulnerabilità sono considerate riservate e devono essere condivise solo tra Object First e la parte segnalante se le informazioni non sono già di pubblico dominio fino a quando un rimedio non è disponibile e le attività di divulgazione sono coordinate. 

Sistemi in Ambito 

Questa politica si applica a qualsiasi asset prodotto, venduto, posseduto, gestito o mantenuto da Object First. 

Fuori Ambito 

  • Asset o altro equipaggiamento non posseduto da parti partecipanti a questa politica. 

Le vulnerabilità scoperte o sospettate in sistemi fuori ambito devono essere segnalate al fornitore appropriato o all'autorità competente. 

I Nostri Impegni 

Quando lavori con noi, secondo questa politica, puoi aspettarti che noi: 

  • Rispondiamo prontamente al tuo rapporto e lavoriamo con te per comprendere e convalidare il tuo rapporto. 
  • Ci sforziamo di tenerti informato sul progresso di una vulnerabilità mentre viene elaborata. 
  • Lavoriamo per remediare prontamente le vulnerabilità scoperte, entro i nostri vincoli operativi. 
  • Estendiamo il Safe Harbor per la tua ricerca di vulnerabilità relativa a questa politica. 

Le Nostre Aspettative 

Partecipando al nostro programma di divulgazione delle vulnerabilità in buona fede, ti chiediamo di: 

  • Seguire le regole, inclusa questa politica e altri accordi pertinenti. Se c'è qualche incoerenza tra questa politica e qualsiasi altro termine applicabile, i termini di questa politica prevarranno. 
  • Segnalare prontamente qualsiasi vulnerabilità che hai scoperto. 
  • Evitare di violare la privacy degli altri, interrompere i nostri sistemi, distruggere dati e/o danneggiare l'esperienza dell'utente. 
  • Utilizzare solo i Canali Ufficiali per discutere informazioni sulle vulnerabilità con noi. 
  • Fornirci un tempo ragionevole (minimo 90 giorni dalla segnalazione iniziale) per risolvere il problema prima di divulgarlo pubblicamente. 
  • Eseguire test solo su sistemi in ambito e rispettare i sistemi e le attività che sono fuori ambito. 
  • Se una vulnerabilità fornisce accesso non intenzionale ai dati, limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una Prova di Concetto. Inoltre, interrompere i test e inviare un rapporto immediatamente se si incontra qualsiasi dato utente durante i test, come Informazioni Personali Identificabili (PII), Informazioni Sanitarie Personali (PHI), dati della carta di credito o informazioni riservate. 
  • Dovresti interagire solo con account di test che possiedi o con esplicita autorizzazione del titolare dell'account. 
  • Non divulgare i dettagli della vulnerabilità fino a quando Object First non conferma la correzione. 
  • Non memorizzare alcun dato scoperto durante il processo di test. 
  • Non impegnarsi in estorsione. 

Canali Ufficiali 

Si prega di segnalare problemi di sicurezza tramite mailto:[email protected], fornendo tutte le informazioni pertinenti. Maggiore è il numero di dettagli forniti, più velocemente possiamo classificare e affrontare il problema. 

Safe Harbor 

  • Quando si conduce ricerca sulle vulnerabilità ai sensi di questa politica, consideriamo questa ricerca come: Autorizzata riguardo a qualsiasi legge anti-hacking applicabile, e non avvieremo né supporteremo azioni legali contro di te per violazioni accidentali e in buona fede di questa politica; 
  • Autorizzata riguardo a qualsiasi legge anti-elusione pertinente, e non presenteremo reclami contro di te per elusione dei controlli tecnologici; 
  • Esente da restrizioni nei nostri Termini di Servizio (TOS) e/o Politica di Uso Accettabile (AUP) che interferirebbero con la conduzione della ricerca sulla sicurezza, e rinunciamo a tali restrizioni su base limitata; e 
  • Levole, utile per la sicurezza complessiva di Internet e condotta in buona fede. 

Ti aspettiamo di rispettare tutte le leggi applicabili nella tua ricerca, test e segnalazione. Se una terza parte avvia un'azione legale contro di te e hai rispettato questa politica, prenderemo provvedimenti per far sapere che le tue azioni sono state condotte in conformità con questa politica. 

Se hai preoccupazioni o non sei sicuro se la tua ricerca di sicurezza sia coerente con questa politica in qualsiasi momento, ti preghiamo di inviare un rapporto a [email protected].  

Nota che il Safe Harbor si applica solo a reclami legali sotto il controllo dell'organizzazione partecipante a questa politica e che la politica non vincola terze parti indipendenti.