Divulgazione delle vulnerabilità
In TKH Security consideriamo la sicurezza dei nostri sistemi, della nostra rete e dei nostri prodotti come una priorità assoluta. Tuttavia, è possibile che venga scoperta una vulnerabilità, per la quale apprezziamo qualsiasi scoperta/informazione ci venga fornita, in modo da poter prendere provvedimenti il prima possibile. Per noi è importante collaborare con voi per proteggere al meglio i nostri clienti e i nostri sistemi.
Notifica
Vi chiediamo di segnalare le vostre scoperte il prima possibile dopo la scoperta a privacy-security@tkhsecurity.com.
Vi chiediamo di:
- Segnalarlo il prima possibile per evitare che soggetti malintenzionati scoprano la vulnerabilità e ne approfittino;
- Riferire all’organizzazione in modo riservato per evitare che altri accedano a queste informazioni;
- Fornire informazioni sufficienti per riprodurre il problema in modo da poterlo risolvere il più rapidamente possibile. Una breve descrizione della vulnerabilità è di solito sufficiente, ma le vulnerabilità più complesse possono richiedere informazioni più dettagliate;
- Non rivelare la vulnerabilità o il problema ad altri finché non è stato risolto;
- Non inserite la vostra backdoor in un sistema informatico per dimostrare successivamente la vulnerabilità, poiché ciò può causare ulteriori danni e correre inutili rischi per la sicurezza;
- Abusare di una vulnerabilità non più di quanto sia necessario per determinarla;
- Non copiare, modificare o cancellare i dati dal sistema. Un’alternativa a questa procedura è la creazione di un elenco di directory del sistema;
- Non apportare alcuna modifica al sistema;
- Non accedere ripetutamente al sistema e non condividerlo con altri;
- Non utilizzate attacchi di forza lorda, ingegneria sociale, sicurezza fisica, social engineering, distributed denial of service (DDoS), spam o applicazioni di terzi per accedere ai sistemi.
Cosa promettiamo
- Rispondiamo alla vostra segnalazione entro 5 giorni con la nostra valutazione della segnalazione e una data prevista per la soluzione;
- Se avete rispettato le condizioni di cui sopra, non intraprenderemo azioni legali contro di voi in merito alla segnalazione;
- Tratteremo la vostra segnalazione in modo confidenziale e non condivideremo le vostre informazioni personali con terzi senza il vostro permesso, a meno che ciò non sia necessario per soddisfare un obbligo legale. È possibile effettuare segnalazioni con uno pseudonimo o in forma anonima;
- Vi terremo informati sui progressi della risoluzione del problema;
- Nel riportare il problema segnalato, se lo desiderate, indicheremo il vostro nome come scopritore;
- Ci impegniamo a risolvere tutti i problemi nel più breve tempo possibile e siamo lieti di essere coinvolti in qualsiasi pubblicazione relativa al problema dopo la sua risoluzione.
La nostra politica di divulgazione coordinata delle vulnerabilità non è un invito a scansionare attivamente la nostra rete o i nostri sistemi alla ricerca di punti deboli. Noi stessi monitoriamo la nostra rete aziendale, il che significa che c’è una buona probabilità di rilevare la vostra scansione, il che potrebbe comportare costi inutili. Questa politica è stata redatta sulla base delle linee guida sulla divulgazione coordinata delle vulnerabilità (CVD) del National Cyber Security Center (NCSC).