Responsible Disclosure

Responsible Disclosure

Per inviare una segnalazione scrivi a xxx

Trovi le regole qui di seguito.

Cosa è la Responsible Disclosure

La Responsible Disclosure definisce una modalità per segnalare vulnerabilità dei sistemi informatici, lasciando al ricevente il tempo necessario per poter individuare ed applicare le opportune contromisure, prima di renderle pubbliche.

Applicando questo modello controllato ed eticamente corretto, per le segnalazioni di vulnerabilità di sicurezza, si contribuisce ad innalzare il livello di protezione dei servizi informatici e dei prodotti offerti ai clienti, aiutando le aziende a rilevare e porre rimedio alle falle dei sistemi, per evitare che vengano creati danni o disservizi.

Come funziona la Responsible Disclosure di SB Italia

Se un cliente, un ricercatore di sicurezza o un esperto individua una vulnerabilità relativa a:

  • Portali web SB ITALIA (es. www.sbitalia.com)
  • Applicativi e/o App mobili ufficiali SB ITALIA (es. Docsweb, AgileSign, ecc)

può segnalarla a SB ITALIA seguendo la procedura di Responsible Disclosure riportata sotto.

L’obiettivo del processo è garantire che eventuali vulnerabilità vengano gestite responsabilmente, evitando di creare rischi per altri utenti o causare impatti sui sistemi SB ITALIA.

Impegni richiesti a chi effettua la segnalazione

Chi invia la segnalazione deve adottare un comportamento responsabile e non arrecare alcun danno ai sistemi SB ITALIA.
In particolare:

  • Deve mantenere la massima riservatezza sulla vulnerabilità scoperta per almeno 90 giorni, così da permettere a SB ITALIA di correggerla. In casi complessi, questo periodo può essere esteso previa comunicazione.
  • Non deve svolgere test che possano causare interruzioni, degrado dei servizi o perdita di dati.
  • Deve limitare l’utilizzo degli strumenti necessari alla sola dimostrazione della vulnerabilità, evitando scansioni invasive.
  • Non deve accedere né divulgare dati di terzi senza consenso.

Se chi segnala opera come persona giuridica (azienda, ente, associazione), deve garantire che le informazioni sulla vulnerabilità siano condivise solo con il personale strettamente necessario e con adeguate misure di sicurezza interne.

Cosa deve contenere la segnalazione

La segnalazione va inviata via e-mail all’indirizzo responsible-disclosure@sbitalia.com, includendo:

  • Dati identificativi del segnalante (nome, cognome ed eventuale organizzazione).
  • Tipologia di vulnerabilità individuata.
  • Servizio, applicazione o apparato coinvolto.
  • Descrizione tecnica dettagliata per permettere la riproduzione del problema.
  • Indirizzo IP utilizzato per il test e data/ora della scoperta.
  • Un archivio ZIP (max 10MB) con tutto il materiale utile (screenshot, PoC, log, script, pcap, ecc.).
  • Il consenso (o meno) alla condivisione dei propri dati con il produttore della tecnologia eventualmente coinvolta.
  • La disponibilità a comparire nella Hall of Fame SB ITALIA, In caso di dipendenti di organizzazioni, SB ITALIA non pubblicherà nessun riferimento personale ma verrà citata, eventualmente, oltre all’organizzazione il nome della funzione che ha scoperto la vulnerabilità.

Cosa farà SB ITALIA dopo la segnalazione

SB ITALIA si impegna a:

  1. Inviare un primo riscontro per confermare la ricezione della segnalazione.
  2. Entro 10 giorni, comunicare se la segnalazione rientra nel processo di Responsible Disclosure e fornire un primo esito dell’analisi.
  3. Gestire la vulnerabilità nei tempi previsti e, se ritenuta eleggibile e non già in gestione, ringraziare pubblicamente l’organizzazione (nel caso di professionista indipendente verrà ringraziata la persona fisica) nella Hall of Fame, se autorizzata.

SB ITALIA non offre ricompense economiche e può decidere di non prendere in carico le segnalazioni che non rispettano i criteri previsti.

Dopo il rilascio della patch, SB ITALIA invita comunque a mantenere un comportamento prudente, poiché la distribuzione della correzione potrebbe richiedere tempo.

Esempi di vulnerabilità considerate eleggibili

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Injection (es. SQL injection)
  • Problemi di autenticazione o gestione delle sessioni
  • Broken access control
  • Errori di configurazione della sicurezza
  • Attacchi di redirect o Man in the Middle
  • Remote code execution
  • API insufficientemente protette
  • Escalation di privilegi

Segnalazioni escluse dalla Responsible Disclosure

Le seguenti casistiche non sono considerate valide ai fini della pubblicazione nella Hall of Fame:

  • Problemi non legati alla sicurezza (es. bug grafici, indisponibilità servizi): da segnalare tramite canali customer care (inserire indirizzo@sbitalia.com)
  • Phishing, spam, social engineering: da segnalare a inserire indirizzo@sbitalia.com o tramite la form dedicata sul sito SB ITALIA.
  • Output di tool automatici di scanning (Nessus, nmap, ecc.) senza analisi manuale.
  • Configurazioni TLS deboli o mancanza di best practice come security headers.

SB ITALIA può aggiornare in qualsiasi momento la procedura di Responsible Disclosure.

Hall of Fame