SCOPERTA E DIVULGAZIONE DELLE VULNERABILITÀ

SCOPERTA E DIVULGAZIONE DELLE VULNERABILITÀ

Politica di scoperta e divulgazione delle vulnerabilità

Versione 1.4- Ottobre 2023

 

Introduzione

Sylvania considera la sicurezza, la privacy e l’incolumità dei propri clienti una delle sue principali priorità.
Progettiamo e realizziamo prodotti e servizi con la migliore qualità e affidabilità possibile.
Nonostante i nostri sforzi per implementare le migliori misure di sicurezza possibili, i nostri prodotti e servizi potrebbero presentare delle vulnerabilità.

Questo documento descrive la politica di Sylvania per la ricezione di segnalazioni relative a potenziali vulnerabilità di sicurezza nei suoi prodotti e servizi, le procedure dell’azienda per la gestione di una segnalazione e la prassi standard dell’azienda per quanto riguarda l’informazione ai clienti delle vulnerabilità verificate.

Tutti sono incoraggiati a segnalare le vulnerabilità individuate, indipendentemente dal tipo di servizio o di prodotto.
Ricercatori, partner, clienti o qualsiasi altra fonte sono invitati a segnalare le vulnerabilità riscontrate.

Ambito di applicazione

Questa politica si applica ai seguenti sistemi e servizi:

Nota per i ricercatori: Tutti i servizi non espressamente elencati sopra sono esclusi dal campo di applicazione e non sono autorizzati per i test.

Linee guida

Ti chiediamo di:

  • Avvisa Feilo Sylvania per prima e il più presto possibile dopo aver scoperto un problema di sicurezza reale o potenziale.
  • Compiere ogni sforzo per evitare violazioni della privacy, degrado delle prestazioni del sistema, degrado dell’esperienza dell’utente, interruzione dei sistemi di produzione e distruzione o manipolazione dei dati.
  • Usa gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità.
  • Non utilizzare un exploit per compromettere o estrarre dati, stabilire l’accesso alla linea di comando e/o la persistenza, o utilizzare l’exploit per “fare rotta” verso altri sistemi.
  • Una volta accertata l’esistenza di una vulnerabilità o la presenza di dati sensibili (tra cui informazioni di identificazione personale, informazioni finanziarie, informazioni proprietarie o segreti commerciali di qualsiasi parte), devi interrompere il test, informarci immediatamente e non divulgare questi dati a nessun altro.
  • Dai a Feilo Sylvania un tempo ragionevole per risolvere il problema.
  • Non utilizzare test di Network denial of service (DoS o DDoS) o altri test che compromettano l’accesso o danneggino un sistema o dei dati.

Se queste linee guida vengono seguite, non verranno intraprese azioni legali nei confronti di chi scopre e segnala una vulnerabilità.

Segnalazione di una vulnerabilità

Il metodo preferito per contattare Feilo Sylvania in merito a una vulnerabilità reale o potenziale dei suoi prodotti o servizi è l’invio di un’e-mail a:

[email protected].

Per poter elaborare in modo efficiente la tua segnalazione di vulnerabilità, ci aspettiamo un rapporto ben scritto in inglese che contenga le seguenti informazioni:

  • Ora e data della scoperta
  • Applicazione mobile utilizzata
  • Sistema operativo mobile
  • Modello di computer e dettagli del sistema operativo
  • Numero del modello del dispositivo e indirizzi MAC/UUID associati
  • Modello e numero del prodotto utilizzando, se possibile, la nomenclatura del venditore.
  • URL, informazioni sul browser, compresi il tipo e la versione e l’input necessario per riprodurre la vulnerabilità;
  • Descrizione tecnica – fornisci quali azioni sono state eseguite e il risultato nel modo più dettagliato possibile, comprese le schermate,
  • Codice di esempio – se possibile, fornire il codice utilizzato nei test per creare la vulnerabilità;
  • Informazioni di contatto sulla festa di Reporting – i migliori recapiti
  • Piano/i di divulgazione – piano attuale di divulgazione;
  • Valutazione della minaccia/rischio e valutazione della gravità – contiene i dettagli delle minacce e/o dei rischi identificati, compreso un livello di rischio (minore, maggiore, critico).
  • Informazioni rilevanti sui dispositivi connessi se si verifica una vulnerabilità durante l’interazione.

Ti preghiamo di non includere dati personali nei tuoi rapporti, ad eccezione di quelli necessari per contattarti in linea con la conformità al GDPR.

La partecipazione a questo meccanismo di segnalazione non ti garantisce alcun diritto sulla proprietà intellettuale di Feilo Sylvania o di terzi.

Elaborazione del rapporto – Prossimi passi

Una volta ricevuta la segnalazione, Feilo Sylvania si impegnerà a confermare la ricezione di tutte le segnalazioni inviate entro sette giorni.

La tua segnalazione verrà elaborata nel nostro sistema di tracciamento dei problemi.
La valutazione della gravità della segnalazione verrà presa in considerazione e assegnata a discrezione di Feilo Sylvania e un membro appropriato del team ti contatterà per dare seguito alla segnalazione.

Per garantire la riservatezza, ti invitiamo a criptare qualsiasi informazione sensibile che ci invii via e-mail.
Feilo Sylvania garantirà un dialogo aperto per discutere i problemi e ti terrà informato in ogni fase dell’indagine.

Feilo Sylvania ha piena discrezione nel decidere se accettare o meno una segnalazione in base al livello di gravità o al contenuto della segnalazione stessa.

Feilo Sylvania ti ringrazia per l’assistenza fornita nell’identificazione di una vulnerabilità, per aver migliorato i nostri prodotti e servizi e per aver contribuito a una comunità più sicura.

Tutti gli aspetti di questo processo sono soggetti a modifiche senza preavviso e ad eccezioni specifiche.
Non è garantito un particolare livello di risposta per nessun problema specifico o gruppo di problemi.

Si noti che non è prevista alcuna ricompensa finanziaria per le vulnerabilità segnalate.