Responsible disclosure policy

Come Kiwa, consideriamo la sicurezza dei nostri sistemi ICT e dei nostri siti Web di estrema importanza. Pertanto, abbiamo cercato di strutturare i nostri sistemi con il massimo livello possibile di sicurezza, ma potrebbero persistere punti di vulnerabilità. Qualora dovessi riscontrarne, ti chiediamo di non abusare di queste debolezze ma, al contrario, di segnalarci il problema in modo da poter adottare le misure necessarie.

La nostra politica di divulgazione responsabile (Responsible Disclosure Policy) non è tuttavia un invito ad esaminare attivamente la nostra rete aziendale per scoprire punti deboli, ma un incentivo per lavorare insieme al fine di proteggere al meglio i nostri sistemi e porre rimedio a una vulnerabilità nel più breve tempo possibile. 

Segnala una vulnerabilità

Nel caso in cui dovessi riscontrare un punto di vulnerabilità di preghiamo di tenere presente quanto segue:

  • Invia le informazioni il più rapidamente possibile a responsibledisclosure@kiwa.nl
  • Cerca di fornirci informazioni adeguate che consentano di riprodurre la vulnerabilità, in modo da poter replicare la debolezza e risolverla il più rapidamente possibile. Di solito, l'indirizzo IP o l'URL del sistema interessato e una descrizione della vulnerabilità sono sufficienti, anche se potrebbero essere necessarie maggiori informazioni per vulnerabilità più complesse.
  • Includi i tuoi dati di contatto (indirizzo e-mail o numero di telefono) in modo che, in caso di necessità, ci sia possibile contattarci.
  • Ti chiediamo di non condividere informazioni sulla questione con terzi.
  • La segnalazione è sufficiente: non eseguire alcuna azione oltre a quanto necessario per dimostrare la vulnerabilità.

Se la tua segnalazione soddisfa queste condizioni, non vi saranno conseguenze in ambito legale.

Non abusare di un punto debole

Se scopri una vulnerabilità, ti chiediamo di non approfittarne, evitando azioni come:

  • Installare malware;
  • Copiare, modificare o cancellare dati in un sistema o creare un elenco di file/cartelle;
  • Apportare modifiche al sistema;
  • Accedere ripetutamente al sistema e/o condividere l'accesso con altri;
  • Muoversi lateralmente nella rete o spingersi all'interno dei nostri sistemi;
  • Hackerare i nostri sistemi per accedervi, anche attraverso sistemi di brute-force;
  • Fare uso di denial-of-service o ingegneria sociale.

Come gestiamo la tua segnalazione

Se hai segnalato un punto debole in uno dei nostri sistemi ICT o siti web, la procedura prevede il seguente iter:

  • Riceverai una conferma dell’avvenuta ricezione della tua segnalazione entro un giorno lavorativo.
  • Risponderemo alla tua segnalazione entro cinque giorni lavorativi. La nostra risposta conterrà una valutazione sulle informazioni inviate e una data prevista per la risoluzione della problematica.
  • Sarà nostra cura tenerti informato sui progressi nella risoluzione della vulnerabilità.
  • Tratteremo i tuoi dati personali e le informazioni contenute nella segnalazione nel rispetto della normativa vigente sulla privacy, come da privacy policy reperibile in questo sito.

È nel nostro interesse risolvere il problema di sicurezza segnalato il più rapidamente possibile, per cui le azioni di ripristino non superano da procedura 60 giorni. 

Conclusioni

Kiwa può rivedere la politica in merito alla divulgazione responsabile se c'è un motivo per farlo. La politica in vigore è sempre disponibile in questa pagina.

Rijswijk, Olanda, dicembre 2018.