Segnalazione responsabile e ricompense per segnalazione di bug ("bug bounty")
Channable apprezza la segnalazione responsabile delle vulnerabilità relative alla sicurezza. Il presente documento descrive la posizione di Channable per quanto riguarda le segnalazioni di problemi di sicurezza. Per quanto l'azienda si sforzi di investire nella sicurezza dei sistemi, esiste sempre il rischio di bug, imprevisti vulnerabilità. Per questo, se hai riscontrato una vulnerabilità, ti invitiamo a segnalarcela in modo da consentirci di correggerla tempestivamente.
SCRIVICI:
- Inviaci le tue segnalazioni a security@channable.com. Se lo ritieni necessario, puoi crittografare il contenuto della tua email utilizzando questa chiave GPG.
- Se hai individuato un problema, non cercare di sfruttarlo a tuo vantaggio. Ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellando o modificando i dati di altre persone.
- Non rivelare il problema ad altri finché non è stato risolto. Trattiamo tutte le segnalazioni con la massima serietà e ti risponderemo nel minor tempo possibile.
- Non utilizzare gli attacchi alla sicurezza fisica, il social engineering, il (distributed) denial of service, lo spam o le applicazioni di terzi.
- Piuttosto, fornisci informazioni sufficienti a riprodurre il problema, in modo da poterlo risolvere il più rapidamente possibile.
- Utilizza il codice di rinvio "SECURITY_RESEARCH" quando crei un nuovo account Channable per scopi di ricerca sulla sicurezza.
TI GARANTIAMO:
- Una risposta alla tua segnalazione entro 3 giorni lavorativi.
- Una risposta contenente la nostra valutazione entro 7 giorni lavorativi.
- Se hai seguito le istruzioni sopra riportate, Channable non intraprenderà alcuna azione legale nei tuoi confronti in relazione alla tua segnalazione.
- Quest'ultima sarà gestita nella massima riservatezza e i tuoi dati personali non saranno mai trasmessi a terzi senza il tuo consenso.
- Nel tempo riceverai aggiornamenti sui progressi compiuti nella risoluzione del problema.
BUG BOUNTY:
Channable apprezza il tuo contributo al mantenimento della sicurezza dei propri sistemi. Le tue segnalazioni possono valerti una ricompensa di entità variabile a seconda della gravità della vulnerabilità segnalata. In genere le ricompense vanno da un massimo di 100 euro per le vulnerabilità di bassa gravità a importi più elevati per i problemi più gravi. La somma di ciascuna ricompensa è definita di volta in volta da Channable a sua esclusiva discrezione. Channable non offre alcuna ricompensa se la vulnerabilità:
- è stata individuata in modo non conforme alle linee guida di Channable sulla divulgazione responsabile;
- è già nota a Channable;
- non può essere sfruttata in maniera dimostrabile;
- costituisce una segnalazione non confermata proveniente da scanner automatici di vulnerabilità;
- è legata a limiti di velocità o ad attacchi di forza bruta;
- dimostra unicamente la possibilità di evincere le versioni del software da noi utilizzato (banner grabbing);
- è presente in servizio non compreso nell'ambito di applicazione. L'elenco dei servizi fuori ambito include, tra gli altri:
- channablestatus.com + *.channablestatus.com
- channable.com + www.channable.com
- academy.channable.com + internal-academy.channable.com
- brand.channable.com + brand.*.channable.com
- docs.channable.com
- helpcenter.channable.com
- jobs.channable.com
- status.channable.com
- tech.channable.com
Le ricompense saranno corrisposte a qualsiasi soggetto ammissibile ai sensi della legge olandese. I beneficiari delle ricompense saranno sempre singoli individui e non gruppi di persone. This policy was adapted from Floor Terra’s example policy from https://responsibledisclosure.nl