1. Introduzione
La sicurezza è fondamentale per il modo in cui operiamo. Accogliamo con favore le segnalazioni di ricercatori di sicurezza, hacker etici e della comunità più ampia che ci aiutano a individuare e risolvere potenziali vulnerabilità. Questa politica illustra come segnalare i problemi di sicurezza in modo responsabile e cosa puoi aspettarti da noi.
2. Ambito
Questa politica si applica alle vulnerabilità individuate nell'applicazione web di unofax su unofax.com e nelle relative API. Quanto segue è fuori ambito:
• Servizi di terze parti (ad esempio l'elaborazione dei pagamenti Square, Google Analytics)
• Attacchi di ingegneria sociale o phishing contro i dipendenti o gli utenti di unofax
• Attacchi di negazione del servizio (DoS/DDoS)
• Problemi di sicurezza fisica
• Vulnerabilità in software o infrastrutture non di proprietà di unofax
3. Come segnalare
Se individui una potenziale vulnerabilità di sicurezza, ti preghiamo di segnalarcela scrivendo a support@unofax.com. Includi il maggior numero possibile di dettagli:
• Una descrizione della vulnerabilità e del suo potenziale impatto
• I passaggi per riprodurre il problema
• Eventuali prove a supporto (screenshot, codice proof-of-concept, log)
• Il tuo nome e i tuoi contatti (facoltativi, ma utili per il follow-up)
4. I nostri impegni
Quando segnali una vulnerabilità in buona fede e in conformità con questa politica, ci impegniamo a:
• Confermare la ricezione della tua segnalazione entro 3 giorni lavorativi
• Fornire una valutazione iniziale entro 10 giorni lavorativi
• Tenerti informato sui nostri progressi verso la risoluzione del problema
• Non intraprendere azioni legali contro di te per le tue attività di ricerca condotte nel rispetto di questa politica
• Riconoscerti il merito (se lo desideri) quando affrontiamo pubblicamente la vulnerabilità
5. Linee guida per i ricercatori
Per garantire che la tua ricerca sia condotta in modo responsabile, ti preghiamo di attenerti alle seguenti linee guida:
• Non accedere, modificare o eliminare dati appartenenti ad altri utenti
• Non interrompere o degradare la disponibilità dei servizi di unofax
• Non divulgare pubblicamente la vulnerabilità prima che abbiamo avuto una ragionevole opportunità di affrontarla
• Agire in buona fede ed evitare qualsiasi azione che possa danneggiare unofax o i suoi utenti
• Effettuare test solo su account di tua proprietà o per i quali hai il permesso esplicito di eseguire test
6. Safe Harbour
Consideriamo la ricerca di sicurezza condotta in conformità con questa politica come autorizzata e non intraprenderemo azioni legali contro i ricercatori che rispettano queste linee guida. Se una terza parte avvia un'azione legale contro di te per attività condotte in conformità con questa politica, adotteremo misure ragionevoli per far sapere che le tue azioni erano autorizzate.
7. Esclusioni
I seguenti tipi di scoperte in genere non sono idonei a essere presi in considerazione ai sensi di questa politica:
• Header di sicurezza mancanti che non portano a un exploit dimostrabile
• Clickjacking su pagine prive di azioni sensibili
• Self-XSS (cross-site scripting che colpisce solo la sessione dell'utente stesso)
• Rate limiting mancante senza dimostrazione del potenziale di abuso
• Vulnerabilità che richiedono browser o plugin obsoleti
• Problemi individuati tramite scansione automatizzata senza verifica manuale
8. Contatti
Per tutte le segnalazioni e richieste, ti preghiamo di scrivere a support@unofax.com.