SKIKK Responsible Disclosure Program
Panoramica
In SKIKK, la sicurezza dei nostri sistemi e la protezione dei dati dei nostri clienti sono la nostra massima priorità.
Nonostante i nostri sforzi, possono comunque esistere delle vulnerabilità. Per questo motivo accogliamo con favore la ricerca responsabile sulla sicurezza e offriamo questo Responsible Disclosure Program, affinché i ricercatori possano segnalare problemi di sicurezza in modo sicuro ed etico.
Questo programma è destinato esclusivamente alla ricerca sulla sicurezza in buona fede. Non è un programma di bug bounty e non prevede ricompense monetarie.
Ambito
Domini inclusi nell'ambito
-
www.skikk.eu
Solo i sistemi di proprietà di SKIKK e gestiti da SKIKK rientrano nell'ambito. Servizi di terze parti, integrazioni e provider esterni sono fuori dall'ambito, salvo diversa indicazione esplicita.
Categorie di vulnerabilità nell'ambito
Siamo particolarmente interessati alle vulnerabilità che possono compromettere la riservatezza, l'integrità o la disponibilità dei nostri sistemi o dei dati dei clienti, tra cui:
-
Sensitive Data Exposure
-
Problemi di autenticazione e gestione delle sessioni
-
Insecure Direct Object References (IDOR)
-
Vulnerabilità di injection (SQL, command, ecc.)
-
Cross-Site Scripting (XSS) – stored o reflected
-
Remote Code Execution (RCE)
-
Security misconfiguration
-
Broken access control
-
Directory / path traversal
-
Esposizione di credenziali o secret
Segnalazioni fuori dall'ambito
I seguenti elementi sono fuori dall'ambito e possono essere chiusi senza ulteriore valutazione:
-
Social engineering, phishing, vishing o impersonificazione
-
Test di Denial-of-Service (DoS / DDoS)
-
Attacchi brute-force o account enumeration
-
Output di scanner automatizzati senza validazione manuale
-
Suggerimenti su politiche di password deboli
-
Header HTTP mancanti senza rischio dimostrato
-
Cookie flag su cookie non sensibili
-
Clickjacking o CSRF su pagine non sensibili
-
Problemi di configurazione e-mail SPF / DKIM / DMARC
-
Open redirect senza impatto sulla sicurezza
-
Auto-exploitation o problemi puramente teorici
-
Problemi che richiedono interazioni utente non realistiche
-
Vulnerabilità già note a SKIKK
-
Segnalazioni basate su credenziali trapelate, rubate o compromesse
Regole per la ricerca
Durante i test devi:
-
Effettuare i test solo su account di tua proprietà e gestione
-
Evitare azioni che compromettano la disponibilità del servizio
-
Non accedere, modificare o eliminare dati di altri utenti
-
Non caricare malware o payload dannosi
-
Non sfruttare le vulnerabilità oltre un proof of concept
-
Non eseguire test di sicurezza fisica
-
Non divulgare pubblicamente le vulnerabilità prima della loro risoluzione
-
Eliminare tutti i dati sensibili ottenuti durante i test
Il mancato rispetto di queste regole può comportare l'esclusione dal programma.
Segnalare una vulnerabilità
Le segnalazioni possono essere inviate tramite e-mail a:
security@skikk.eu
La tua segnalazione deve contenere:
-
Una descrizione chiara del problema
-
URL o endpoint interessati
-
Passaggi per riprodurre il problema
-
Proof of concept, se applicabile
-
Valutazione dell'impatto
Segnalazioni incomplete o poco chiare potrebbero essere respinte.
Il nostro impegno
Se rispetti questa policy, ci impegniamo a:
-
Confermare la ricezione della tua segnalazione
-
Valutare e convalidare i problemi segnalati
-
Tenerti aggiornato sui progressi, ove opportuno
-
Non intraprendere azioni legali contro ricerche svolte in buona fede
-
Trattare la tua segnalazione in modo riservato
I tempi di risoluzione possono variare a seconda della gravità e della complessità.
Nessuna ricompensa
SKIKK non offre ricompense monetarie, bounty o pagamenti per le vulnerabilità segnalate. Questo è un programma di responsible disclosure basato sulla collaborazione in buona fede, non un programma di bug bounty a pagamento.
Apprezziamo profondamente il tempo e l'impegno dei ricercatori di sicurezza e siamo lieti di riconoscere i contributi validi, quando opportuno, ma la partecipazione è volontaria e non dà diritto ad alcun compenso.
Condizioni legali
Inviando una segnalazione, confermi che:
-
Sei l'autore originale della segnalazione
-
Concedi a SKIKK il diritto di utilizzare e dar seguito alla segnalazione
-
Non divulgherai pubblicamente la vulnerabilità senza autorizzazione scritta
-
Non utilizzerai il nome o il marchio SKIKK a scopi promozionali
In conclusione
Questo programma può essere modificato o interrotto in qualsiasi momento senza preavviso. La partecipazione è volontaria e non dà diritto ad alcuna ricompensa o compenso.
Grazie per aiutarci a mantenere sicuri SKIKK e i nostri clienti.