Switch Language

Questa politica delinea linee guida chiare sul processo di collaborazione tra Socomec e qualsiasi altra persona fisica o giuridica, compresi i ricercatori di sicurezza, che potrebbero segnalare una vulnerabilità riscontrata nei prodotti Socomec.

Questa politica descrive il canale di comunicazione messo a disposizione per la segnalazione delle vulnerabilità, la nostra procedura per la gestione delle segnalazioni ricevute (compresi i tempi di elaborazione durante i quali si chiede al ricercatore di non divulgare la vulnerabilità a terzi) e tutte le fasi della collaborazione, dal contatto iniziale alla distribuzione delle patch.

Socomec apprezza questa collaborazione e fa ogni sforzo per gestire le segnalazioni ricevute in modo efficiente e tempestivo. Incoraggiamo chiunque a contattarci e a segnalarci potenziali vulnerabilità nei nostri prodotti, consentendoci di apportare misure correttive a vantaggio della sicurezza dei nostri utenti e del pubblico in generale.

Socomec non offre bug bounty, ma la nostra Vulnerability Disclosure Policy (VDP) include un wall of fame attraverso il quale comunicheremo apertamente il vostro contributo all'identificazione e alla correzione delle vulnerabilità dei nostri prodotti, se lo desiderate.

 

Campo di applicazione

La Politica di divulgazione delle vulnerabilità si applica a qualsiasi persona o entità, in particolare ai ricercatori di sicurezza, e copre tutte le vulnerabilità in relazione a tutti i prodotti, applicazioni e servizi di Socomec, nonché a tutti i siti Web di Socomec.

 

Linee guida

Si prega di rispettare le seguenti linee guida quando si segnala una vulnerabilità.

Esporre le vulnerabilità dei nostri prodotti in ambito pubblico può avere gravi conseguenze e danneggiare gli interessi di Socomec. Ci riserviamo tutti i diritti di intentare un'azione legale contro qualsiasi persona fisica e/o giuridica che infligga danni a Socomec trascurando e/o violando le seguenti linee guida.

Do

  • Notificare Socomec il prima possibile dopo aver scoperto un problema di sicurezza reale o potenziale;
  • Descrivere la posizione della vulnerabilità scoperta e il suo potenziale impatto;
  • Offrire una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilità (script di prova o screenshot sono utili);
  • Scrivere il rapporto in inglese;.
  • Fare ogni sforzo per evitare violazioni della privacy, degrado dell'esperienza utente, interruzione dei sistemi di produzione e distruzione o manipolazione dei dati;
  • Utilizzare gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità. Non utilizzare un exploit per compromettere o esfiltrare dati, stabilire un accesso persistente alla riga di comando o utilizzare l'exploit per passare ad altri sistemi;
  • accettare di non divulgare pubblicamente una vulnerabilità segnalata fino a quando non sia stata rilasciata una correzione o una mitigazione e non sia stata ricevuta l'approvazione da Socomec.

Don't

  • Presentare un elevato volume di report di bassa qualità;
  • Richiedere un compenso finanziario in cambio dei propri report;
  • Pianificare test di network denial of service (DoS o DDoS) o altri test che compromettano l'accesso o danneggino un sistema o dei dati;
  • Realizzare test fisici (ad es. accesso all'ufficio), di social engineering (ad es. phishing, vishing) o qualsiasi altro test di vulnerabilità non tecnico.

Segnalare una vulnerabilità

Le informazioni inviate in base a questa politica saranno utilizzate esclusivamente a scopo difensivo, per mitigare o correggere le vulnerabilità. Socomec non condividerà la vostra identità o le vostre informazioni di contatto senza il vostro esplicito consenso.

Potete inviare le vostre segnalazioni di vulnerabilità utilizzando questo form o tramite cyberalert@socomec.com. Le segnalazioni possono essere inviate in forma anonima. Nella segnalazione, specificare:

  • Descrizione della vulnerabilità;
  • Impatto potenziale della vulnerabilità;
  • Prodotto e versione interessati;
  • Dettagli CVSS: vettore dell'attacco, complessità dell'attacco, privilegi richiesti, interazione con l'utente, portata e impatto su riservatezza, integrità e disponibilità.

 

Cosa potete aspettarvi da Socomec

Una volta inviata la segnalazione:

  • Vi comunicheremo l'avvenuta ricezione della segnalazione entro 72 ore dal momento della sua ricezione;
  • Realizzeremo la qualificazione della vulnerabilità entro 30 giorni dalla data di ricezione della segnalazione. In caso di problemi specifici che ci impediscano di rispettare questa scadenza, comunicheremo tempestivamente una nuova scadenza ragionevole e proporzionata per completare questa qualificazione;
  • Rimedieremo alla vulnerabilità e pubblicheremo la correzione per la vulnerabilità critica e importante entro 60 giorni dalla data di qualificazione. In caso di difficoltà specifiche che ci impediscano di rispettare questa scadenza, comunicheremo tempestivamente una nuova scadenza ragionevole e proporzionata per completare questa qualificazione.

 

Domande

Le domande relative a questa politica possono essere inviate a cyberalert [at] socomec.com. Vi invitiamo inoltre a contattare Socomec con suggerimenti per migliorare questa politica.

Segnalare un incidente o una vulnerabilità
Contattaci per segnalare un incidente o una vulnerabilità su uno dei nostri prodotti o servizi
Segnalare una vulnerabilità
Sicurezza informatica e protezione dei dati
La sicurezza dei vostri dati è alla base di tutto ciò che facciamo. Scoprite come possiamo garantirvi connessioni sicure e affidabili grazie alla nostra politica in materia di sicurezza informatica.
I nostri impegni in materia di sicurezza informatica