Politica di divulgazione delle vulnerabilità del Gruppo Kistler

Il Gruppo Kistler accoglie i feedback dei ricercatori della sicurezza e del pubblico come contributi al miglioramento della sicurezza. Se ritenete di aver scoperto una vulnerabilità, un problema di privacy, dati esposti o altri problemi di sicurezza in una delle nostre risorse, non esitate a comunicarcelo. Questa politica illustra come segnalare le vulnerabilità, cosa ci aspettiamo e cosa potete aspettarvi da noi.

Sistemi che rientrano nell’ambito di applicazione

La presente politica si applica a

  • Tutti i prodotti del Gruppo Kistler
  • Tutti i sistemi del Gruppo Kistler connessi in rete
     
  • La semplice assenza di una funzione di sicurezza non è considerata una vulnerabilità.
  • Non siamo interessati ai risultati comunemente generati dagli scanner automatici, come intestazioni HTTP mancanti, configurazioni, flag dei cookie, clickjacking, ecc., salvo nel caso in cui questi si possano utilizzare per creare un PoC exploit significativo.

Sistemi esclusi dall’ambito di applicazione

Sistemi generali esclusi dall’ambito di applicazione

  • Attacchi di tipo DoS (Denial of Service)
  • Social engineering
  • Phishing
  • Accesso fisico alle strutture di Kistler o dei suoi partner
  • Beni o altre attrezzature non di proprietà delle parti che aderiscono alla presente politica

Le vulnerabilità scoperte o sospettate nei sistemi esclusi dall’ambito devono essere segnalate al relativo fornitore o all’autorità competente.

Sistemi speciali che rientrano nell’ambito di applicazione

  • www.kistler.com: sito web principale, siamo interessati solo alle vulnerabilità critiche come l’esecuzione di codice da remoto (RCE)

I nostri impegni

  • In virtù della presente politica, lavorando con noi potete aspettarvi che:
  • Rispondiamo prontamente alla vostra segnalazione e collaboriamo con voi per comprenderla e convalidarla
  • Ci sforziamo di tenervi informati sullo stato di avanzamento dell’elaborazione di una vulnerabilità
  • Ci adoperiamo per rimediare alle vulnerabilità scoperte con tempestività, nel rispetto dei nostri vincoli operativi
  • Estendiamo i principi dell’approdo sicuro (Safe Harbor) alle ricerche sulla vulnerabilità inerenti alla presente politica

Le nostre aspettative

A chi partecipa in buona fede al nostro programma di divulgazione delle vulnerabilità, chiediamo di:

  • Rispettare le regole, compresa l’osservanza di questa politica e di qualsiasi altro accordo pertinente. In caso di incongruenza tra la presente politica e qualsiasi altro termine applicabile, prevarranno i termini della presente politica
  • Segnalare tempestivamente qualsiasi vulnerabilità scoperta
  • Evitare di violare la privacy di terzi, di interrompere i nostri sistemi, di distruggere i dati e/o di compromettere l’esperienza degli utenti
  • Utilizzare solo i canali ufficiali per discutere con noi le informazioni sulla vulnerabilità
  • Eseguire i test solo sui sistemi che rientrano nell’ambito di applicazione, rispettando le disposizioni sui sistemi e le attività che non vi rientrano
  • Se a seguito di una vulnerabilità si accede in modo non intenzionale ai dati: limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente un Proof of Concept; interrompere i test e inviare immediatamente un rapporto se durante i test si incontrano dati di utenti, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie
  • Interagire solo con gli account di test di cui si è proprietari o dietro l’esplicito consenso del titolare dell’account
  • Non rendersi colpevoli di estorsione

Politica di divulgazione

Divulgazione coordinata: le informazioni sulla vulnerabilità possono essere condivise con terze parti dopo che la vulnerabilità è stata risolta e il proprietario del programma ha fornito l’autorizzazione alla divulgazione.

Canali ufficiali

Vi preghiamo di utilizzare i nostri canali ufficiali per segnalare problemi di sicurezza, fornendo tutte le informazioni pertinenti. Più dettagli ci fornirete, più sarà facile per noi risolvere il problema.
I canali ufficiali sono:

-----BEGIN PGP PUBLIC KEY BLOCK-----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=lVoV
-----END PGP PUBLIC KEY BLOCK-----

Safe Harbor

Quando si eseguono ricerche sulla vulnerabilità ai sensi della presente politica, tali ricerche si ritengono:

  • Autorizzate ai sensi di ogni legge anti-hacking; non avvieremo o sosterremo azioni legali contro di voi in caso di violazioni accidentali e in buona fede della presente politica
  • Autorizzate ai sensi di ogni legge antielusione pertinente; non avanzeremo alcuna richiesta di risarcimento nei confronti dell’utente per l’elusione dei controlli tecnologici
  • Esenti dalle restrizioni previste dai nostri Termini di Servizio (TOS) e/o dalla Politica di Utilizzo Accettabile (AUP) che interferirebbero con lo svolgimento di ricerche sulla sicurezza; rinunciamo a tali restrizioni su base limitata
  • Legittime, utili alla sicurezza generale di Internet e condotte in buona fede

L’utente è tenuto, come sempre, a rispettare tutte le leggi vigenti. Se viene avviata un’azione legale da parte di terzi nei vostri confronti e voi avete rispettato la presente politica, ci adopereremo per rendere noto che le vostre azioni sono state condotte in conformità alla presente politica.

In caso di dubbi, o qualora non siate sicuri che la vostra ricerca sulla sicurezza sia conforme a questa politica, vi invitiamo a inviare una segnalazione attraverso uno dei nostri canali ufficiali prima di proseguire.

Informazioni legali

Kistler si riserva il diritto di modificare i termini e le condizioni della presente politica e la vostra adesione comporta l’accettazione di tutti i termini. Vi invitiamo a controllare regolarmente questo sito in quanto aggiorniamo regolarmente i termini e le condizioni di ammissibilità della nostra politica, che entrano in vigore al momento della pubblicazione. Ci riserviamo il diritto di abrogare la presente politica in qualsiasi momento.

Ultimo aggiornamento 24/3/2021