Efficlose

Politica di divulgazione delle vulnerabilità

Politica di divulgazione delle vulnerabilità di Efficlose. Scopri come segnalare in modo responsabile le vulnerabilità di sicurezza.

Ultimo aggiornamento: 21 dicembre 2025

Introduzione

Efficlose si impegna ad aiutare partner e clienti a ridurre al minimo i rischi legati alle vulnerabilità di sicurezza nei nostri prodotti. Ci impegniamo a rispettare le migliori pratiche di settore in materia di sicurezza e gestione delle vulnerabilità e a fornire ai clienti informazioni tempestive, indicazioni e opzioni di mitigazione per affrontare le vulnerabilità.

Gestione delle segnalazioni di vulnerabilità

Diamo valore al contributo dei partner di settore e dei ricercatori di sicurezza e apprezziamo ogni contributo alle nostre iniziative di sicurezza. Il nostro obiettivo è garantire che rimedi e/o strategie di mitigazione siano disponibili al momento della divulgazione di vulnerabilità specifiche di Efficlose e collaborare con fornitori terzi quando la risoluzione richiede il loro intervento.

Se ritieni di aver scoperto una vulnerabilità, un problema di privacy, dati esposti o altri problemi di sicurezza in uno qualsiasi dei nostri asset, vogliamo sentirti. Questa politica descrive i passi per segnalarci le vulnerabilità, cosa ci aspettiamo e cosa puoi aspettarti da noi.

Secondo questa politica, tutte le informazioni divulgate su nuove vulnerabilità sono considerate riservate e condivise solo tra Efficlose e la parte che segnala, se le informazioni non sono già di dominio pubblico, fino a quando non è disponibile un rimedio e le attività di divulgazione sono coordinate.

Sistemi in ambito

Questa politica si applica a qualsiasi asset di proprietà, gestito o mantenuto da Efficlose, inclusi:

  • Il sito web e le applicazioni web Efficlose
  • Le applicazioni mobili Efficlose
  • Le API e i servizi backend Efficlose
  • Qualsiasi altro asset digitale sotto il dominio efficlose.com

Fuori ambito

Sono considerati fuori ambito per questa politica:

  • Asset o altre apparecchiature non di proprietà di Efficlose
  • Servizi di terzi integrati con Efficlose (devono essere segnalati al rispettivo fornitore)
  • Attacchi di ingegneria sociale ai dipendenti o ai collaboratori di Efficlose
  • Vulnerabilità di sicurezza fisica
  • Attacchi di denial of service (DoS)

Le vulnerabilità scoperte o sospettate in sistemi fuori ambito devono essere segnalate al fornitore competente o all’autorità competente.

I nostri impegni

Collaborando con noi secondo questa politica, puoi aspettarti che:

  • Rispondiamo con tempestività: Accuseremo ricevuta della tua segnalazione entro 3 giorni lavorativi e lavoreremo con te per comprendere e convalidare il report.
  • Ti teniamo informato: Ci impegniamo a tenerti informato sull’avanzamento della vulnerabilità durante l’elaborazione.
  • Rimediamo con tempestività: Lavoreremo per risolvere le vulnerabilità scoperte con tempestività, nei limiti operativi.
  • Forniamo Safe Harbor: Estendiamo la protezione Safe Harbor alla tua ricerca sulle vulnerabilità in relazione a questa politica.
  • Riconosciamo i ricercatori: Con il tuo permesso, riconosceremo il tuo contributo nei nostri advisory di sicurezza.

Le nostre aspettative

Partecipando in buona fede al nostro programma di divulgazione delle vulnerabilità, chiediamo che tu:

  • Rispetti le regole: Rispetta le regole, inclusa questa politica e gli altri accordi rilevanti. In caso di incoerenza tra questa politica e altri termini applicabili, prevarranno i termini di questa politica.
  • Segnali con tempestività: Segnala tempestivamente qualsiasi vulnerabilità che hai scoperto.
  • Rispetti la privacy: Evita di violare la privacy di altri, perturbare i nostri sistemi, distruggere dati e/o danneggiare l’esperienza utente.
  • Usi i canali ufficiali: Usa solo i canali ufficiali per discutere con noi le informazioni sulle vulnerabilità.
  • Conceda un tempo ragionevole: Concedici un tempo ragionevole (minimo 90 giorni dalla segnalazione iniziale) per risolvere il problema prima di divulgarlo pubblicamente.
  • Resta in ambito: Esegui test solo sui sistemi in ambito e rispetta sistemi e attività fuori ambito.
  • Limita l’accesso ai dati: Se una vulnerabilità consente un accesso non previsto ai dati, limita la quantità di dati a cui accedi al minimo necessario per dimostrare efficacemente una proof of concept. Inoltre, interrompi i test e invia subito una segnalazione se durante i test incontri dati utente, come dati personali identificativi (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
  • Usa account di test: Dovresti interagire solo con account di test di tua proprietà o con esplicito permesso del titolare dell’account.
  • Mantieni la riservatezza: Non divulgare i dettagli della vulnerabilità finché Efficlose non conferma la correzione.
  • Non conservare dati: Non conservare alcun dato scoperto durante il processo di test.
  • Niente estorsione: Non praticare estorsione.

Canali ufficiali

Segnala i problemi di sicurezza a [email protected], fornendo tutte le informazioni rilevanti. Più dettagli fornisci, più velocemente possiamo valutare e affrontare il problema.

Quando invii una segnalazione, includi:

  • Descrizione della vulnerabilità
  • Passi per riprodurre il problema
  • Impatto potenziale della vulnerabilità
  • Eventuale codice proof-of-concept o screenshot
  • I tuoi dati di contatto per domande di follow-up

Safe Harbor

Quando conduci una ricerca sulle vulnerabilità secondo questa politica, consideriamo questa ricerca:

  • Autorizzata in relazione alle leggi anti-hacking: Non avvieremo né supporteremo azioni legali contro di te per violazioni accidentali e in buona fede di questa politica.
  • Autorizzata in relazione alle leggi anti-aggiramento: Non intenteremo azioni contro di te per l’aggiramento di controlli tecnologici.
  • Esente dalle restrizioni dei Termini di servizio: Deroghiamo alle restrizioni dei nostri Termini di servizio (TOS) e/o della Politica di utilizzo accettabile (AUP) che interferirebbero con la conduzione della ricerca sulla sicurezza in misura limitata.
  • Legale e in buona fede: La tua ricerca è considerata legale, utile alla sicurezza complessiva di Internet e condotta in buona fede.

Ci aspettiamo che tu rispetti tutte le leggi applicabili nella tua ricerca, nei test e nelle segnalazioni. Se una terza parte avvia un’azione legale contro di te e tu hai rispettato questa politica, adotteremo misure per far sapere che le tue azioni sono state condotte in conformità con questa politica.

Se hai dubbi o non sei sicuro che la tua ricerca sulla sicurezza sia coerente con questa politica in qualsiasi momento, invia una segnalazione a [email protected].

Nota che il Safe Harbor si applica solo alle azioni legali sotto il controllo di Efficlose e che la politica non vincola terze parti indipendenti.

Tempistiche di risposta

Ci impegniamo a rispettare queste tempistiche:

AzioneTempistica
Prima conferma di ricezioneEntro 3 giorni lavorativi
Triage e valutazione inizialeEntro 7 giorni lavorativi
Aggiornamento di statoOgni 14 giorni durante l’indagine
Obiettivo di risoluzioneEntro 90 giorni per la maggior parte delle vulnerabilità

Riconoscimento

Crediamo nel riconoscere i preziosi contributi dei ricercatori di sicurezza. Con il tuo permesso:

  • Ti citeremo nei nostri advisory di sicurezza
  • Ti includeremo nella nostra Security Researcher Hall of Fame (se applicabile)
  • Forniremo una lettera di ringraziamento su richiesta

Modifiche a questa politica

Potremmo rivedere questa politica di tanto in tanto. La versione più aggiornata della politica regolerà la nostra gestione delle segnalazioni di vulnerabilità e sarà sempre disponibile su divulgazione vulnerabilità.

Contatti

Per domande su questa Politica di divulgazione delle vulnerabilità, contattaci a:

Apprezziamo il tuo aiuto nel mantenere Efficlose e i nostri utenti al sicuro.