Nuovo
Richiedi una demo

Object First Politica di divulgazione delle vulnerabilità

Ultimo aggiornamento:

Introduzione 

Object First si impegna ad aiutare i nostri partner e clienti a ridurre al minimo il rischio associato a eventuali vulnerabilità di sicurezza. In qualità di cofirmatario dell’impegno Secure by Design di CISA, siamo dedicati a mantenere le best practice di settore nella gestione della sicurezza e delle vulnerabilità e a fornire ai clienti informazioni, indicazioni e opzioni di mitigazione tempestive per affrontare le vulnerabilità.

Gestione delle segnalazioni di vulnerabilità

Accogliamo con favore segnalazioni e divulgazioni da partner di settore e ricercatori di sicurezza. Il nostro obiettivo è disporre di rimedi o strategie di mitigazione disponibili al momento della divulgazione, in collaborazione con fornitori terzi quando necessario.

Se hai scoperto una vulnerabilità, un problema di privacy, dati esposti o altri problemi di sicurezza in uno qualsiasi dei nostri prodotti, vogliamo saperlo.

In base a questa policy di divulgazione, tutte le informazioni divulgate su nuove vulnerabilità sono considerate riservate e saranno condivise esclusivamente tra Object First e la parte segnalante se le informazioni non sono già di dominio pubblico, fino a quando il team di sicurezza di Object First non conferma che è disponibile una remediation e autorizza esplicitamente la divulgazione coordinata.

Sistemi inclusi nell’ambito

Questa policy si applica a qualsiasi prodotto fabbricato, venduto, posseduto, gestito o mantenuto da Object First.

Fuori ambito

Prodotti o altre apparecchiature non di proprietà delle parti che partecipano a questa policy.

Le vulnerabilità scoperte o sospette in sistemi fuori ambito devono essere segnalate al fornitore appropriato o all’autorità competente.

I nostri impegni

Quando collabori con noi puoi aspettarti che:

  • Risponderemo tempestivamente alla tua segnalazione e lavoreremo con te per comprendere e validare la segnalazione.
  • Ti terremo informato sui progressi di una vulnerabilità durante la sua gestione.
  • Lavoreremo per correggere tempestivamente le vulnerabilità scoperte, entro i nostri vincoli operativi.
  • Estenderemo il “Safe Harbor” per la tua ricerca sulle vulnerabilità correlata a questa policy.

Le nostre aspettative

Partecipando in buona fede al nostro programma di divulgazione delle vulnerabilità, ti chiediamo di:

  • Rispettare le regole, inclusa l’osservanza di questa policy e di altri accordi pertinenti. In caso di qualsiasi incoerenza tra questa policy e altri termini applicabili, prevarranno i termini di questa policy.
  • Segnalare tempestivamente qualsiasi vulnerabilità scoperta.
  • Evitare di violare la privacy altrui, interrompere i nostri sistemi, distruggere dati e/o danneggiare l’esperienza utente.
  • Utilizzare esclusivamente canali ufficiali per discutere informazioni sulle vulnerabilità con [email protected].
  • Concederci un tempo ragionevole (minimo 90 giorni dalla segnalazione iniziale) per risolvere il problema prima di divulgarlo pubblicamente.
  • Eseguire test solo su sistemi inclusi nell’ambito e rispettare sistemi e attività fuori ambito.
  • Se una vulnerabilità fornisce accesso non intenzionale ai dati, limitare la quantità di dati a cui accedi al minimo necessario per dimostrare efficacemente una proof of concept. Inoltre, interrompere immediatamente i test e inviare subito una segnalazione se durante i test incontri dati utente, come Informazioni di Identificazione Personale (PII), Informazioni Sanitarie Personali (PHI), dati di carte di credito o qualsiasi altra informazione proprietaria.
  • Interagire solo con account di test di tua proprietà o con esplicita autorizzazione del titolare dell’account.
  • Non divulgare i dettagli della vulnerabilità fino a quando non concordato con il team di sicurezza di Object First.
  • Non archiviare alcun dato scoperto durante il processo di test.
  • Non intraprendere attività di estorsione.

Segnala una vulnerabilità di sicurezza

Se ritieni di aver identificato una vulnerabilità di sicurezza in un prodotto o servizio Object First, ti invitiamo a segnalarla così da poter indagare e risolvere rapidamente il problema.

Come segnalare

Invia un’email [email protected] con una descrizione chiara di ciò che hai trovato, includendo qualsiasi dettaglio che ci aiuti a effettuare il triage in modo efficiente. Se non sei sicuro che i tuoi test siano allineati a questa policy, contatta lo stesso indirizzo.

Cosa includere

  • Un riepilogo del problema e del potenziale impatto
  • Passaggi dettagliati per riprodurre la vulnerabilità
  • Nome del prodotto, versione e dettagli dell’ambiente
  • Qualsiasi materiale di proof‑of‑concept
  • Le tue informazioni di contatto preferite

Evita di scaricare, archiviare o condividere qualsiasi informazione sensibile. Interrompi immediatamente i test e includi le tue osservazioni nella segnalazione.

Cosa aspettarsi

Il nostro team di sicurezza confermerà la ricezione della tua segnalazione, esaminerà il problema e ti contatterà con i passaggi successivi. Ti terremo informato mentre lavoriamo verso una risoluzione.

Safe Harbor

Object First supporta la ricerca di sicurezza condotta in buona fede. “Safe Harbor” significa che, se segui questa policy e conduci i test in modo responsabile, tratteremo la tua ricerca come autorizzata e non intraprenderemo azioni legali per violazioni accidentali che si verificano durante la tua indagine.

Quando conduci ricerca sulle vulnerabilità ai sensi di questa policy, consideriamo tale ricerca:

  • Autorizzata ai sensi delle leggi anti-hacking applicabili, e non avvieremo né sosterremo azioni legali contro di te per violazioni accidentali, in buona fede, di questa policy
  • Autorizzata ai sensi delle leggi anti-elusione pertinenti, e non presenteremo alcuna pretesa nei tuoi confronti per l’elusione di controlli tecnici
  • Esente dalle restrizioni nei nostri Termini di Servizio (TOS) e/o nella Policy di Utilizzo Accettabile (AUP) che interferirebbero con lo svolgimento della ricerca di sicurezza, e rinunciamo a tali restrizioni su base limitata
  • Lecita, utile alla sicurezza complessiva e condotta in buona fede.

Ci si aspetta che tu rispetti tutte le leggi applicabili nella tua ricerca, nei test e nella segnalazione. Se una terza parte avvia un’azione legale contro di te e tu hai rispettato questa policy, adotteremo misure per rendere noto che le tue azioni sono state condotte in conformità con questa policy.

Coinvolgimento di terze parti

Ci si aspetta che tu rispetti tutte le leggi applicabili nella tua ricerca, nei test e nella segnalazione. Se una terza parte avvia un’azione legale contro di te e tu hai rispettato questa policy, adotteremo misure per rendere noto che le tue azioni sono state condotte in conformità con questa policy.

Nota che il Safe Harbor si applica solo a pretese legali sotto il controllo dell’organizzazione che partecipa a questa policy e che la policy non vincola terze parti indipendenti.

Disclaimer sulla traduzione automatica

Tieni presente che Object First utilizza la traduzione automatica sul nostro sito web. Per i dettagli completi, leggi il disclaimer.