Spedizione in
Stati Uniti d'America flagStati Uniti d'America

🔥 Spedizione FedEx ridotta per CORE One! 🚀

$USD
Italiano
Accesso

Politica sulla sicurezza Prusa 3D

Introduzione

Questa politica di divulgazione delle vulnerabilità si applica a qualsiasi vulnerabilità che si sta considerando di segnalare a Prusa Research a.s. (l'"Organizzazione") a condizione che il sito web dell'Organizzazione abbia pubblicato un file security.txt che faccia riferimento a questa politica.

Raccomandiamo di leggere attentamente questa politica di divulgazione delle vulnerabilità prima di segnalare una vulnerabilità e di agire sempre in conformità con essa.

Valorizziamo coloro che si prendono il tempo e l'impegno di segnalare le vulnerabilità di sicurezza in base a questa politica. Premieremo qualsiasi segnalazione rilevante in materia di sicurezza che valuteremo degna di essere portata avanti con modalità finanziarie o materiali a seconda della gravità del problema.

Segnalazione

Se si ritiene di aver trovato una vulnerabilità di sicurezza relativa al sistema dell'Organizzazione, si prega di inviare una segnalazione di vulnerabilità all'indirizzo definito nel campo CONTACT del file security.txt pubblicato.

Nella segnalazione si prega di includere i dettagli di:

  • Il sito web, l'IP o la pagina in cui è possibile rilevare la vulnerabilità.
  • Una breve descrizione del tipo di vulnerabilità, ad esempio: "vulnerabilità XSS".
  • Passi per la riproduzione. Dovrebbe trattarsi di una prova di concetto benigna e non distruttiva. Questo aiuta a garantire che la segnalazione possa essere analizzata in modo rapido e accurato. Inoltre, riduce la probabilità di duplicazione delle segnalazioni o di sfruttamento doloso di alcune vulnerabilità, come l'acquisizione di sottodomini.

Che cosa aspettarsi

Dopo l'invio della segnalazione, risponderemo entro 5 giorni lavorativi e cercheremo di risolvere il problema entro 10 giorni lavorativi. Ci impegniamo inoltre a tenervi informati sui nostri progressi.

Per la valutazione della priorità della correzione si considerano l'impatto, la gravità e la complessità dell'exploit. Le segnalazioni di vulnerabilità potrebbero richiedere un certo tempo per essere elaborate o risolte. Siete invitati a chiedere informazioni sullo stato, ma dovreste evitare di farlo più di una volta ogni 14 giorni. In questo modo i nostri team possono concentrarsi sulla risoluzione dei problemi.

Vi informeremo quando la vulnerabilità segnalata sarà stata rimediata e potrete essere invitati a confermare che la soluzione è in grado di risolvere la vulnerabilità in modo adeguato.

Una volta risolta la vulnerabilità, accogliamo con favore le richieste di divulgazione del rapporto. Vorremmo unificare la nostra guida, quindi continuate a coordinare la divulgazione con noi.

Guida

NON si deve:

  • Infrangere qualsiasi legge o regolamento applicabile.
  • Accedere a quantità di dati non necessarie, eccessive o significative.
  • Modificare i dati nei sistemi o nei servizi dell'Organizzazione.
  • Utilizzare strumenti di scansione invasivi o distruttivi a elevata intensità per trovare le vulnerabilità.
  • Tentare o segnalare qualsiasi forma di negazione del servizio, ad esempio sovraccaricare un servizio con un elevato volume di richieste.
  • Interrompere i servizi o i sistemi dell'Organizzazione.
  • Presentare rapporti che indichino vulnerabilità non sfruttabili o rapporti che indichino che i servizi non sono completamente in linea con le "best practice", ad esempio intestazioni di sicurezza mancanti.
  • Presentare rapporti che illustrino le debolezze della configurazione TLS, ad esempio il supporto di suite di cifratura "deboli" o la presenza del supporto TLS1.0.
  • Comunicare eventuali vulnerabilità o dettagli associati con mezzi diversi da quelli descritti nel file security.txt pubblicato.
  • Effettuare social engineering, "phishing" o attaccare fisicamente il personale o l'infrastruttura dell'Organizzazione.
  • Chiedere un compenso finanziario per rivelare eventuali vulnerabilità.

Si deve:

  • Rispettare sempre le norme sulla protezione dei dati e non violare la privacy dei dati in possesso dell'Organizzazione. Non è consentito, ad esempio, condividere, ridistribuire o non proteggere adeguatamente i dati recuperati dai sistemi o dai servizi.
  • Eliminare in modo sicuro tutti i dati recuperati durante la ricerca non appena non sono più necessari o entro 1 mese dalla risoluzione della vulnerabilità, a seconda di quale situazione si verifichi per prima (o come altrimenti richiesto dalla legge sulla protezione dei dati).

Legalità

Questa politica è stata concepita in modo da essere compatibile con le comuni buone pratiche di divulgazione delle vulnerabilità. Non autorizza l'utente ad agire in modo incompatibile con la legge o a far sì che l'Organizzazione o le organizzazioni partner violino gli obblighi di legge.