Tavola disegno 1 copia

CNA - Vulnerability Disclosure Policy

CNA - Vulnerability Disclosure Policy

CNA - Política de divulgação

Como relatar um problema

Descobriu uma possível vulnerabilidade de segurança que afeta o software dentro do escopo da CNA?

Relate-o com responsabilidade

Inclua em seu relatório

  • Uma descrição detalhada da vulnerabilidade
  • O produto e a versão afetados
  • Etapas para reproduzi-la (se possível)
  • Impacto potencial.

Incentivamos o uso de criptografia para informações confidenciais. Nossa chave PGP pode ser solicitada no endereço de e-mail acima.

Escopo

Esta política de divulgação se aplica a vulnerabilidades descobertas em produtos de software desenvolvidos e mantidos pela Almaviva S.p.A., incluindo, mas não se limitando a:

  • CybeRisk Vision – Joshua
  • CybeRisk Vision – Jiano
  • CybeRisk Vision – Sofia
  • Plataforma Giotto.

Compromisso de divulgação responsável

A Almaviva S.p.A. tem o compromisso de trabalhar com a comunidade de segurança para proteger nossos clientes e produtos. Não tomaremos medidas legais contra indivíduos que relatarem vulnerabilidades de forma responsável e de boa fé, de acordo com esta política.

O que esperar de nós

  • Confirmação: Confirmaremos o recebimento de seu relatório em até 5 dias úteis
  • Avaliação inicial: Forneceremos uma avaliação inicial do relatório em até 10 dias úteis
  • Atualizações de status: Manteremos você informado sobre o processo de remediação nos principais estágios
  • Coordenação: Se o problema for confirmado como uma vulnerabilidade, coordenaremos com você a divulgação pública, dando o devido crédito, se desejado
  • Confidencialidade: Pedimos que você não divulgue informações sobre a vulnerabilidade publicamente até que tenhamos confirmado e resolvido o problema.

O escopo da CNA é limitado a soluções proprietárias sob o controle direto da Almaviva S.p.A.

Cronogramas de divulgação

  • Dia 0 (relatório recebido): Confirmamos o recebimento em até 5 dias úteis
  • Dentro de 30 dias: Nosso objetivo é fornecer a confirmação da vulnerabilidade, uma avaliação de seu impacto e um plano ou cronograma de correção
  • Dentro de 90 dias: Nossa meta é lançar uma correção, um patch ou uma mitigação. Em alguns casos, isso pode levar mais tempo; se for o caso, manteremos o relator informado
  • Divulgação pública: Coordenaremos com o relator a divulgação da vulnerabilidade de forma responsável assim que uma correção estiver disponível ou após 90 dias da confirmação, caso nenhuma correção tenha sido lançada (seguindo as práticas recomendadas do setor).

Compromisso de divulgação responsável

A Almaviva S.p.A. tem o compromisso de trabalhar com a comunidade de segurança para proteger nossos clientes e produtos. Não tomaremos medidas legais contra indivíduos que relatarem vulnerabilidades de forma responsável e de boa fé, de acordo com esta política.