Tavola disegno 1 copia

CNA - Vulnerability Disclosure Policy

CNA - Vulnerability Disclosure Policy

CNA - Disclosure Policy

Come segnalare un problema

È stata rilevata una possibile vulnerabilità di sicurezza che interessa il software nell'ambito della CNA?

Si prega di segnalarla in modo responsabile

Cosa includere nella segnalazione

  • Una descrizione dettagliata della vulnerabilità
  • Il prodotto e la versione interessati
  • Passaggi da seguire (ove possibile)
  • Impatto potenziale.

Incoraggiamo l'uso della crittografia per le informazioni sensibili. La nostra chiave PGP può essere richiesta all'indirizzo e-mail sopra indicato.

Ambito di applicazione

La presente politica di divulgazione si applica alle vulnerabilità individuate nei prodotti software sviluppati e gestiti da Almaviva S.p.A., inclusi, a titolo esemplificativo, ma non esaustivo:

  • CybeRisk Vision – Joshua
  • CybeRisk Vision – Jiano
  • CybeRisk Vision – Sofia
  • Piattaforma Giotto.

Impegno per una divulgazione responsabile

Almaviva S.p.A. si impegna a collaborare con la comunità di sicurezza per proteggere i nostri clienti e prodotti. Non saranno intraprese azioni legali contro i soggetti che segnaleranno vulnerabilità in modo responsabile e in buona fede, in conformità a questa politica.

Cosa aspettarsi da parte nostra

  • Avviso di ricezione: confermeremo la ricezione della segnalazione entro 5 giorni lavorativi
  • Valutazione iniziale: forniremo una valutazione iniziale della segnalazione entro 10 giorni lavorativi
  • Aggiornamenti: informeremo sulle fasi principali della procedura di rimedio
  • Coordinamento: se il problema viene confermato come vulnerabilità, ci coordineremo con la persona interessata in merito alla divulgazione pubblica, attribuendo, eventualmente, il giusto merito
  • Riservatezza: chiediamo di non divulgare pubblicamente informazioni sulla vulnerabilità finché non l'avremo confermata e risolta.

L’ambito di applicazione della CNA è limitato alle soluzioni proprietarie sotto il diretto controllo di Almaviva S.p.A.

Tempistiche di divulgazione

  • Giorno 0 (ricezione segnalazione): confermeremo la ricezione entro 5 giorni lavorativi
  • Entro 30 giorni: il nostro obiettivo è fornire conferma della vulnerabilità, una valutazione del suo impatto e un piano o una tempistica per la procedura di rimedio
  • Entro 90 giorni: il nostro obiettivo è fornire una procedura di correzione, soluzione o mitigazione. In alcuni casi, ciò potrebbe richiedere più tempo. In tal caso, terremo informata la persona che ha fornito la segnalazione
  • Divulgazione pubblica: ci coordineremo con la persona che ha fornito la segnalazione per divulgare la vulnerabilità in modo responsabile, una volta che sarà disponibile la procedura di correzione oppure dopo 90 giorni dalla conferma, se non è stata ancora rilasciata alcuna procedura di correzione (in linea con le best practice del settore).

Impegno per una divulgazione responsabile

Almaviva S.p.A. si impegna a collaborare con la comunità di sicurezza per proteggere i nostri clienti e prodotti. Non saranno intraprese azioni legali contro i soggetti che segnaleranno vulnerabilità in modo responsabile e in buona fede, in conformità a questa politica,