Vai al contenutoVal al footer

Vulnerability Disclosure Policy

Policy di Segnalazione Vulnerabilità

Se ritieni di aver identificato una vulnerabilità di sicurezza su uno dei nostri sistemi, applicazioni o servizi, ti invitiamo a segnalarcela tempestivamente.
Tutte le segnalazioni ricevute saranno oggetto di analisi e, ove ritenute valide, gestite con l’obiettivo di risolvere il problema nel più breve tempo possibile.

 

Canale di segnalazione

Le segnalazioni devono essere inviate al seguente indirizzo e-mail dedicato: cybersecurity@aimag.it

Per consentire una valutazione efficace, è richiesto di includere:

  • descrizione della vulnerabilità rilevata;
  • data e modalità con cui è stata individuata;
  • passi necessari per riprodurre la vulnerabilità;
  • eventuale impatto stimato;
  • eventuali evidenze tecniche (es. screenshot, log, script, tracce di rete);
  • suggerimenti per la risoluzione (se disponibili).

 

Ambito di applicazione e limiti

La presente policy si applica ai sistemi e servizi pubblicamente accessibili dell’organizzazione.

Non è consentito:

  • effettuare attività che possano compromettere la disponibilità dei sistemi (es. Denial of Service);
  • accedere, modificare o cancellare dati senza autorizzazione;
  • tentare escalation di privilegi o accessi non autorizzati a sistemi interni;
  • effettuare test intrusivi al di fuori delle funzionalità pubblicamente accessibili;
  • violare la normativa vigente o diritti di terzi.

 

Linee guida per operare in modo etico

Non verranno intraprese azioni legali nei confronti di ricercatori che agiscono eticamente e nel rispetto della presente policy.

Si considera “etico” il comportamento volto esclusivamente a individuare e segnalare vulnerabilità senza arrecare danno ai sistemi, ai dati o agli utenti.

L’organizzazione si riserva tuttavia ogni diritto in caso di comportamenti non conformi alle presenti linee guida o alla normativa applicabile.

 

Modalità di gestione e divulgazione

Le segnalazioni vengono gestite secondo un processo di Coordinated Vulnerability Disclosure (CVD), che prevede:

  • analisi e validazione della vulnerabilità;
  • classificazione del rischio;
  • attivazione delle attività di remediation;
  • comunicazione con il segnalante durante il processo;

 

Tempi di risposta

L’organizzazione si impegna a:

  • fornire una conferma di ricezione entro circa 5 giorni lavorativi;
  • fornire un aggiornamento sullo stato entro circa 30 giorni dalla segnalazione;
  • Le tempistiche di risoluzione possono variare in funzione della complessità della vulnerabilità e della disponibilità di patch o aggiornamenti.

 

Ricompense

L’organizzazione non prevede attualmente programmi di ricompensa (bug bounty) né compensi per le segnalazioni ricevute.

 

Riservatezza

Il segnalante si impegna a mantenere riservate le informazioni relative alla vulnerabilità fino alla sua risoluzione o fino a diverso accordo con l’organizzazione.

Consenso ai cookie con Real Cookie Banner