Responsible disclosure
Presso Taxi2airport.com, consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Eppure non importa quanto impegno mettiamo nella sicurezza del sistema, possono ancora esserci delle vulnerabilità.
Se scopri una vulnerabilità, vorremmo esserne informati in modo da poter prendere provvedimenti per risolverla il più rapidamente possibile. Vorremmo chiedervi di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi.
Si prega di fare quanto segue:
- Inviare la propria segnalazione, preferibilmente tramite un’e-mail crittografata (trova la nostra chiave pubblica PGP su https://keybase.io/transferz), a security@transferz.com,
- Non sfruttare la vulnerabilità o il problema che hai scoperto, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o eliminando o modificando i dati di altre persone,
- Non rivelare il problema ad altri finché non è stato risolto,
- Non utilizzare attacchi alla sicurezza fisica, ingegneria sociale, distributed denial of service, spam o applicazioni di terze parti e
- Fornire informazioni sufficienti per riprodurre il problema, così saremo in grado di risolverlo il più rapidamente possibile. Di solito, l’indirizzo IP o l’URL del sistema interessato e una descrizione della vulnerabilità saranno sufficienti, ma le vulnerabilità complesse potrebbero richiedere ulteriori spiegazioni.
Cosa promettiamo:
- Risponderemo alla tua segnalazione entro 10 giorni lavorativi con la nostra valutazione della segnalazione e una data di risoluzione prevista,
- Se hai seguito le istruzioni di cui sopra, non intraprenderemo alcuna azione legale contro di te in relazione alla segnalazione,
- Tratteremo la tua segnalazione con la massima riservatezza e non trasmetteremo i tuoi dati personali a terzi senza il tuo permesso,
- Ti terremo informato sui progressi in merito alla risoluzione del problema,
- Nelle informazioni pubbliche relative al problema segnalato, forniremo il tuo nome come scopritore del problema (a meno che tu non desideri diversamente), e
- Ci sforzeremo di risolvere tutti i problemi il più rapidamente possibile svolgendo un ruolo attivo nella pubblicazione definitiva sul problema dopo che è stato risolto.
Nota: al momento non offriamo più ricompense monetarie per la segnalazione di vulnerabilità della sicurezza.
Questo testo è scritto da Floor Terra ed è pubblicato con licenza Creative Commons Attribution 3.0 Unported.