Vai al contenuto principale

Politica di divulgazione delle vulnerabilità

VaultPAM prende molto sul serio la sicurezza della sua piattaforma. Questa politica descrive come segnalare le vulnerabilità di sicurezza e cosa puoi aspettarti da noi durante il processo di divulgazione.

Come segnalare

  • Invia un'email a security@vaultpam.com con una descrizione del problema, i passaggi per riprodurlo e una valutazione dell'impatto.
  • Per segnalazioni sensibili, richiedi la nostra chiave PGP dallo stesso indirizzo prima di inviare i dettagli.
  • Non divulgare la vulnerabilità pubblicamente finché non abbiamo confermato che è stata implementata una correzione.

Safe harbour

La politica di Safe harbour sarà disponibile a breve — contatta security@vaultpam.com per i dettagli in attesa della revisione legale.

Cosa aspettarsi da noi

  • Riconoscimento entro 5 giorni lavorativi.
  • Aggiornamenti di stato ogni 10 giorni lavorativi mentre il problema è in fase di investigazione.
  • Credito nelle note di rilascio (se desiderato) una volta che la correzione viene distribuita.

Divulgazione coordinata

  • Seguiamo una timeline di divulgazione coordinata di 90 giorni.
  • Lavoreremo con te per allineare la data di divulgazione se la bonifica richiede più tempo.
  • Le vulnerabilità critiche che interessano sfruttamenti attivi possono essere divulgate prima dopo la notifica ai clienti.

Escluso da questa politica

I seguenti elementi rientrano al di fuori dell'ambito di questa politica:

  • Attacchi di negazione del servizio
  • Social engineering del personale di VaultPAM
  • Problemi in servizi di terze parti non sotto il nostro controllo
  • Risultati da scanner automatizzati senza un impatto dimostrabile