Vulnerability Disclosure Policy (VDP)

Apprezziamo la ricerca sulla sicurezza e accogliamo segnalazioni in buona fede. Al momento non accettiamo penetration test esterni .

Ambito

• skyalo.com, *.skyalo.com

• Applicazioni mobili Skyalo (ultime versioni pubbliche)

Fuori ambito: servizi di terze parti, DoS/flooding di traffico, brute force, social engineering, attacchi fisici, spam/segnalazioni DMARC, divulgazione della versione senza impatto, clickjacking senza impatto dimostrato, intestazioni di sicurezza mancanti senza exploit.

Regole di ingaggio

• Agisci in buona fede ed evita violazioni della privacy o il degrado del servizio.

• Usa solo i tuoi account/i tuoi dati.

• Non accedere né modificare dati che non sono tuoi. Se accedi involontariamente a dati non pubblici, interrompi immediatamente e avvisaci.

• Nessuna scansione automatizzata che impatti disponibilità o stabilità.

Come segnalare

Email [email protected] con:

• Host/endpoint interessato e ambiente

• Passaggi di riproduzione chiari

• PoC minimo (richiesta/risposta HTTP, screenshot)

• Valutazione dell’impatto e gravità stimata (CVSS v3.1 preferito)

• Finestra temporale dei test e IP sorgente

Per favore non includere segreti (credenziali, token, dump grezzi del database) nell’email; oscura o maschera i dati sensibili. Se hai bisogno di cifratura, contattaci e predisporremo un metodo sicuro.

Safe Harbor

Se segui questa policy, non intraprenderemo azioni legali e considereremo la tua ricerca autorizzata per il solo scopo limitato di segnalare il problema.

Ricompense e riconoscimenti

Al momento non offriamo ricompense in denaro. Per problemi confermati e non duplicati offriamo riconoscimento pubblico (Hall of Fame) e, su richiesta, una lettera di apprezzamento. Le segnalazioni duplicate possono essere chiuse senza ulteriori riconoscimenti; il credito va alla prima segnalazione valida che riceviamo.

Tempistiche e SLA

• Presa in carico: entro 3 giorni lavorativi

• Aggiornamento sullo stato del triage: dopo la revisione

• Divulgazione coordinata: ti chiediamo di non rendere pubblici i dettagli finché non è disponibile una correzione (fino a 90 giorni)

Obiettivo di remediation: Critica: 7 giorni; Alta: 30 giorni; Media: 90 giorni; Bassa: backlog/come da pianificazione.