Responsible Disclosure

Cos'è la Responsible Disclosure

La Responsible Disclosure definisce una modalità per segnalare vulnerabilità dei sistemi informatici, lasciando al ricevente il tempo necessario per poter individuare ed applicare le opportune contromisure, prima di renderle pubbliche. Applicando questo modello controllato ed eticamente corretto, per le segnalazioni di vulnerabilità di sicurezza, si contribuisce a innalzare il livello di protezione dei servizi informatici e dei prodotti offerti ai clienti, aiutando le aziende a rilevare e porre rimedio alle falle dei sistemi, per evitare che vengano creati danni o disservizi.

Come funziona la Responsible Disclosure in Dimension

Nell’eventualità in cui un cliente, un ricercatore o un esperto rilevasse una o più vulnerabilità riguardanti i seguenti ambiti:

  • Portali web accessibili pubblicamente.
  • Applicazioni mobili presenti sugli store ufficiali.
  • SDK o librerie

può segnalarle a Dimension secondo la procedura descritta di seguito.

Procedura

Chiunque utilizzi la procedura di Responsible Disclosure per segnalare una o più vulnerabilità si impegna, nei confronti di Dimension di asternersi da:

  • qualsiasi attività che potrebbe comportare una perdita di dati relativamente ai sistemi e servizi coinvolti nella segnalazione comportare disservizi
  • divulgare a terzi le informazioni raccolte
  • utilizzare tool di scansione intensivi o invasivi

L’avvio della procedura avviene tramite l’invio di una segnalazione all’indirizzo di posta elettronica info@dimension.it:

Contenente le seguenti informazioni:
  • dati identificativi (nome, cognome, organizzazione, informazioni di contatto)
  • tipo di vulnerabilità rilevata
  • servizio/applicazione impattata dalla vulnerabilità
  • descrizione dettagliata della vulnerabilità e relativa procedura per poterla riprodurre ed analizzare
  • indirizzo IP da cui è stata scoperta la vulnerabilità e la data/ora di rilevamento
  • un archivio contenente tutta la documentazione necessaria per consentire ed aiutare a riprodurre la problematica (codici sorgenti, script, file di cattura del traffico (ad es. Wireshark PCAP, TCPDUMP), log, print screen…). La mail dovrà essere cifrata utilizzando la chiave pubblica disponibile qui (fingerprint: F00A31F3ABA9447C48D4E99B04A0CF950170F276)

Il segnalante si impegna altresì a non divulgare e mantenere strettamente riservate tutte le informazioni raccolte e le vulnerabilità scoperte per un periodo non inferiore a 90 giorni, per consentire a Dimension di analizzare quanto ricevuto e correggere la vulnerabilità. In casi eccezionali, Dimension può richiedere altri 90 giorni ovvero estendere il periodo di analisi, dandone opportuna segnalazione a chi ha attivato la procedura.

Nel suddetto periodo, Dimension si impegna a:
  • Comunicare l’avvenuta ricezione della vulnerabilità nel più breve tempo possibile ove questa sia pertinente
  • Risolvere la vulnerabilità comunicando la modalità di risoluzione
  • Ringraziare pubblicamente chi ha attivato la procedura
Dalla presente procedura sono espressamente esclusi:
  • tecniche di phishing, social engineering atte ad ottenere informazioni
  • esiti di tool automatici di Vulnerability Assessment o Penetration test
  • segnalazioni riguardo il mancato utilizzo di specifici livelli di crittografia o il mancato rispetto di best practice

Dimension si riserva la possibilità di aggiornare, in qualunque momento, la procedura di Responsible Disclosure sopra descritta.

Hall of Fame

Ringraziamo pubblicamente tutti coloro che contribuiscono, in maniera responsabile, a proteggere i nostri Clienti, migliorando la sicurezza dei nostri servizi e prodotti.