Salta la navigazione

Politica di divulgazione delle vulnerabilità di Master Lock

Master Lock si impegna a proteggere la sicurezza dei propri clienti e si impegna a fornire ai propri utenti un prodotto e un servizio sicuri e stabili e a proteggere la privacy e la sicurezza dei dati dei clienti.

La presente politica di divulgazione delle vulnerabilità si applica a tutte le vulnerabilità che l'utente sta valutando di segnalarci (l'"Organizzazione").

Consigliamo di leggere attentamente questa politica di divulgazione delle vulnerabilità prima di segnalare una vulnerabilità e di agire sempre in conformità con essa.

Apprezziamo coloro che dedicano tempo e impegno a segnalare le vulnerabilità della sicurezza in base a questa politica. Tuttavia, non offriamo ricompense in denaro per le divulgazioni di vulnerabilità.

 

Report 

Se l'utente ritiene di aver trovato una vulnerabilità nella sicurezza, è pregato di inviarci la segnalazione utilizzando la seguente e-mail: productsecurity@mlock.com.

Nella segnalazione, includere ove possibile i seguenti dettagli:

  • L'app, il sito web, l'IP o il dispositivo in cui è possibile osservare la vulnerabilità, se applicabile.
  • Una breve descrizione della vulnerabilità, ad esempio "Vulnerabilità XSS".
  • Potenziale causa principale.
  • Passaggi da riprodurre. Questi dovrebbero essere benigni, non distruttivi, proof of concept. In questo modo è possibile garantire che la segnalazione possa essere valutata in modo rapido e accurato.

 

Cosa aspettarsi 

Dopo aver inviato la segnalazione, confermeremo la ricezione della segnalazione entro 5 giorni lavorativi e cercheremo di valutarla entro 10 giorni lavorativi.

Cercheremo inoltre di tenere l'utente informato sui nostri progressi o di chiedere ulteriori informazioni quando applicabile.

Le priorità per la correzione vengono valutate esaminando l'impatto, la gravità e la complessità dell'exploit. Le segnalazioni di vulnerabilità potrebbero richiedere del tempo per essere valutate o risolte. L'utente può chiedere informazioni sullo stato, ma dovrebbe evitare di farlo più di una volta ogni 14 giorni.

Invieremo una notifica una volta risolta la vulnerabilità e l'utente potrebbe essere invitato a confermare che la soluzione copre adeguatamente la vulnerabilità.

Una volta risolta la vulnerabilità, forniremo all'autore della segnalazione un aggiornamento di stato per chiudere la questione.

 

Linee guida 

L'utente NON deve:

  • Violare qualsiasi legge o regolamento applicabile.
  • Accedere a quantità di dati non necessarie, eccessive o significative.
  • Modificare i dati nei sistemi o nei servizi dell'Organizzazione.
  • Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per trovare le vulnerabilità.
  • Tentare di segnalare qualsiasi forma di negazione del servizio, ad esempio sovraccaricando un servizio con un volume elevato di richieste.
  • Interrompere i servizi o i sistemi dell'Organizzazione.
  • Inviare report che descrivono in dettaglio le vulnerabilità non sfruttabili o report che indicano che i servizi non sono completamente allineati con le "best practice", ad esempio intestazioni di sicurezza mancanti.
  • Inviare report che descrivono dettagliatamente i punti deboli della configurazione TLS, ad esempio il supporto della suite di crittografia "debole" o la presenza del supporto TLS1.0.
  • Attaccare fisicamente, effettuare "phishing" o attacchi di ingegneria sociale contro il personale o l'infrastruttura dell'Organizzazione.
  • Esigere una compensazione finanziaria per rivelare eventuali vulnerabilità. 
  • Discutere o divulgare vulnerabilità a terzi senza l'espressa autorizzazione dell'Organizzazione.

 

È necessario

  • Rispettare sempre le norme sulla protezione dei dati e non violare la privacy degli utenti, del personale, degli appaltatori, dei servizi o dei sistemi dell'Organizzazione. L'utente non deve, ad esempio, condividere, ridistribuire o non proteggere adeguatamente i dati recuperati dai sistemi o dai servizi.
  • Eliminare in modo sicuro tutti i dati recuperati durante la ricerca non appena non sono più necessari o entro 1 mese dalla risoluzione della vulnerabilità, a seconda dell'evento che si verifica per primo (o come altrimenti richiesto dalla legge sulla protezione dei dati).

 

Aspetti legali 

Questa politica è concepita per essere compatibile con le buone pratiche comuni in materia di divulgazione delle vulnerabilità. Non autorizza ad agire in alcun modo che sia incompatibile con la legge, o che potrebbe causare la violazione di obblighi legali da parte dell'Organizzazione o delle organizzazioni partner.