RESPONSIBLE DISCLOSURE POLICY
Introduzione
Transatel si impegna a garantire la disponibilità, l’integrità, la riservatezza e la tracciabilità delle informazioni che le vengono affidate.
Tuttavia, qualora venga scoperta una violazione della sicurezza, una vulnerabilità o una fuga di dati relativa a Transatel, questa pagina descrive la nostra politica di divulgazione responsabile per la gestione delle segnalazioni di vulnerabilità e per informarci di eventuali problemi.
Tutte le segnalazioni sono benvenute, sia che provengano da ricercatori di sicurezza, sviluppatori, clienti o privati, a condizione che vengano rispettate le seguenti condizioni:
Tuttavia, qualora venga scoperta una violazione della sicurezza, una vulnerabilità o una fuga di dati relativa a Transatel, questa pagina descrive la nostra politica di divulgazione responsabile per la gestione delle segnalazioni di vulnerabilità e per informarci di eventuali problemi.
Tutte le segnalazioni sono benvenute, sia che provengano da ricercatori di sicurezza, sviluppatori, clienti o privati, a condizione che vengano rispettate le seguenti condizioni:
Condizioni
- Mantenere riservate le informazioni relative alle vulnerabilità scoperte.
- Non utilizzare strumenti automatizzati o tecniche di attacco quali ingegneria sociale (phishing, frodi, ecc.), attacchi di tipo denial of service (DoS, DDoS), spam, truffe o azioni che compromettano la sicurezza fisica.
- Non sfruttare le vulnerabilità oltre quanto strettamente necessario, ad esempio scaricando una quantità di dati superiore a quella richiesta o compromettendo l’integrità dei dati di terzi.
- Fornirci un mezzo per contattarvi qualora desideriate essere informati sull’esito della segnalazione.
- Inviare i risultati via e-mail a security-disclosure[at]transatel.com (Questo indirizzo è destinato esclusivamente alla segnalazione di vulnerabilità; altre richieste non saranno elaborate).
- Oppure, ai sensi dell’articolo 47 della Legge francese per una Repubblica Digitale, rivolgersi a CERT-FR quale autorità competente: cert-fr[at]ssi.gouv.fr
- Non violare alcuna legge o regolamento oltre quanto esplicitamente previsto da questa politica.
- Accettare senza riserve la nostra politica sulla privacy, affinché la segnalazione possa essere trattata.
Nel vostro rapporto
- Anonimizzare i dati personali.
- Includere tutti i dettagli necessari per riprodurre o verificare il problema di sicurezza (IP, URL, descrizione della vulnerabilità, riferimento OWASP, CVE o ATT&CK), screenshot e l’elenco dei prodotti e servizi interessati.
- Se applicabile, specificare i dettagli di eventuali account di prova creati.
Trattamento e riservatezza
Una volta ricevuta, la vostra segnalazione sarà esaminata dal team di sicurezza nel più breve tempo possibile.
Vi assicuriamo che la segnalazione sarà trattata in modo confidenziale, nel rispetto dei requisiti normativi e legali applicabili.
La partecipazione al processo di segnalazione non conferisce alcun diritto di proprietà intellettuale.
Se le vulnerabilità vengono scoperte e segnalate in conformità con la nostra Responsible Disclosure Policy, non verranno intraprese azioni legali nei confronti dei segnalanti. Tuttavia, in caso di mancato rispetto di tali condizioni, ci riserviamo tutti i diritti legali.
Infine, informiamo che al momento non offriamo né partecipiamo ad alcun programma di Bug Bounty.
Vi assicuriamo che la segnalazione sarà trattata in modo confidenziale, nel rispetto dei requisiti normativi e legali applicabili.
La partecipazione al processo di segnalazione non conferisce alcun diritto di proprietà intellettuale.
Se le vulnerabilità vengono scoperte e segnalate in conformità con la nostra Responsible Disclosure Policy, non verranno intraprese azioni legali nei confronti dei segnalanti. Tuttavia, in caso di mancato rispetto di tali condizioni, ci riserviamo tutti i diritti legali.
Infine, informiamo che al momento non offriamo né partecipiamo ad alcun programma di Bug Bounty.