Politica di divulgazione delle vulnerabilità di Master Lock
Master Lock si impegna a proteggere la sicurezza dei propri clienti e si impegna a fornire ai propri utenti un prodotto e un servizio sicuri e stabili e a proteggere la privacy e la sicurezza dei dati dei clienti.
La presente politica di divulgazione delle vulnerabilità si applica a tutte le vulnerabilità che l'utente sta valutando di segnalarci (l'"Organizzazione").
Consigliamo di leggere attentamente questa politica di divulgazione delle vulnerabilità prima di segnalare una vulnerabilità e di agire sempre in conformità con essa.
Apprezziamo coloro che dedicano tempo e impegno a segnalare le vulnerabilità della sicurezza in base a questa politica. Tuttavia, non offriamo ricompense in denaro per le divulgazioni di vulnerabilità.
Report
Se l'utente ritiene di aver trovato una vulnerabilità nella sicurezza, è pregato di inviarci la segnalazione utilizzando la seguente e-mail: productsecurity@mlock.com.
Nella segnalazione, includere ove possibile i seguenti dettagli:
- L'app, il sito web, l'IP o il dispositivo in cui è possibile osservare la vulnerabilità, se applicabile.
- Una breve descrizione della vulnerabilità, ad esempio "Vulnerabilità XSS".
- Potenziale causa principale.
- Passaggi da riprodurre. Questi dovrebbero essere benigni, non distruttivi, proof of concept. In questo modo è possibile garantire che la segnalazione possa essere valutata in modo rapido e accurato.
Cosa aspettarsi
Dopo aver inviato la segnalazione, confermeremo la ricezione della segnalazione entro 5 giorni lavorativi e cercheremo di valutarla entro 10 giorni lavorativi.
Cercheremo inoltre di tenere l'utente informato sui nostri progressi o di chiedere ulteriori informazioni quando applicabile.
Le priorità per la correzione vengono valutate esaminando l'impatto, la gravità e la complessità dell'exploit. Le segnalazioni di vulnerabilità potrebbero richiedere del tempo per essere valutate o risolte. L'utente può chiedere informazioni sullo stato, ma dovrebbe evitare di farlo più di una volta ogni 14 giorni.
Invieremo una notifica una volta risolta la vulnerabilità e l'utente potrebbe essere invitato a confermare che la soluzione copre adeguatamente la vulnerabilità.
Una volta risolta la vulnerabilità, forniremo all'autore della segnalazione un aggiornamento di stato per chiudere la questione.
Linee guida
L'utente NON deve:
- Violare qualsiasi legge o regolamento applicabile.
- Accedere a quantità di dati non necessarie, eccessive o significative.
- Modificare i dati nei sistemi o nei servizi dell'Organizzazione.
- Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per trovare le vulnerabilità.
- Tentare di segnalare qualsiasi forma di negazione del servizio, ad esempio sovraccaricando un servizio con un volume elevato di richieste.
- Interrompere i servizi o i sistemi dell'Organizzazione.
- Inviare report che descrivono in dettaglio le vulnerabilità non sfruttabili o report che indicano che i servizi non sono completamente allineati con le "best practice", ad esempio intestazioni di sicurezza mancanti.
- Inviare report che descrivono dettagliatamente i punti deboli della configurazione TLS, ad esempio il supporto della suite di crittografia "debole" o la presenza del supporto TLS1.0.
- Attaccare fisicamente, effettuare "phishing" o attacchi di ingegneria sociale contro il personale o l'infrastruttura dell'Organizzazione.
- Esigere una compensazione finanziaria per rivelare eventuali vulnerabilità.
- Discutere o divulgare vulnerabilità a terzi senza l'espressa autorizzazione dell'Organizzazione.
È necessario
- Rispettare sempre le norme sulla protezione dei dati e non violare la privacy degli utenti, del personale, degli appaltatori, dei servizi o dei sistemi dell'Organizzazione. L'utente non deve, ad esempio, condividere, ridistribuire o non proteggere adeguatamente i dati recuperati dai sistemi o dai servizi.
- Eliminare in modo sicuro tutti i dati recuperati durante la ricerca non appena non sono più necessari o entro 1 mese dalla risoluzione della vulnerabilità, a seconda dell'evento che si verifica per primo (o come altrimenti richiesto dalla legge sulla protezione dei dati).
Aspetti legali
Questa politica è concepita per essere compatibile con le buone pratiche comuni in materia di divulgazione delle vulnerabilità. Non autorizza ad agire in alcun modo che sia incompatibile con la legge, o che potrebbe causare la violazione di obblighi legali da parte dell'Organizzazione o delle organizzazioni partner.