Ogni prodotto controllato Valutato 9+ Pagare dopo o a rate

SKIKK Responsible Disclosure Program

Panoramica

In SKIKK, la sicurezza dei nostri sistemi e la protezione dei dati dei nostri clienti sono la nostra massima priorità.
Nonostante i nostri sforzi, possono comunque esistere delle vulnerabilità. Per questo motivo accogliamo con favore la ricerca responsabile sulla sicurezza e offriamo questo Responsible Disclosure Program, affinché i ricercatori possano segnalare problemi di sicurezza in modo sicuro ed etico.

Questo programma è destinato esclusivamente alla ricerca sulla sicurezza in buona fede. Non è un programma di bug bounty e non prevede ricompense monetarie.

Ambito

Domini inclusi nell'ambito

  • www.skikk.eu

Solo i sistemi di proprietà di SKIKK e gestiti da SKIKK rientrano nell'ambito. Servizi di terze parti, integrazioni e provider esterni sono fuori dall'ambito, salvo diversa indicazione esplicita.

 

Categorie di vulnerabilità nell'ambito

Siamo particolarmente interessati alle vulnerabilità che possono compromettere la riservatezza, l'integrità o la disponibilità dei nostri sistemi o dei dati dei clienti, tra cui:

  • Sensitive Data Exposure

  • Problemi di autenticazione e gestione delle sessioni

  • Insecure Direct Object References (IDOR)

  • Vulnerabilità di injection (SQL, command, ecc.)

  • Cross-Site Scripting (XSS) – stored o reflected

  • Remote Code Execution (RCE)

  • Security misconfiguration

  • Broken access control

  • Directory / path traversal

  • Esposizione di credenziali o secret

 

Segnalazioni fuori dall'ambito

I seguenti elementi sono fuori dall'ambito e possono essere chiusi senza ulteriore valutazione:

  • Social engineering, phishing, vishing o impersonificazione

  • Test di Denial-of-Service (DoS / DDoS)

  • Attacchi brute-force o account enumeration

  • Output di scanner automatizzati senza validazione manuale

  • Suggerimenti su politiche di password deboli

  • Header HTTP mancanti senza rischio dimostrato

  • Cookie flag su cookie non sensibili

  • Clickjacking o CSRF su pagine non sensibili

  • Problemi di configurazione e-mail SPF / DKIM / DMARC

  • Open redirect senza impatto sulla sicurezza

  • Auto-exploitation o problemi puramente teorici

  • Problemi che richiedono interazioni utente non realistiche

  • Vulnerabilità già note a SKIKK

  • Segnalazioni basate su credenziali trapelate, rubate o compromesse

 

Regole per la ricerca

Durante i test devi:

  1. Effettuare i test solo su account di tua proprietà e gestione

  2. Evitare azioni che compromettano la disponibilità del servizio

  3. Non accedere, modificare o eliminare dati di altri utenti

  4. Non caricare malware o payload dannosi

  5. Non sfruttare le vulnerabilità oltre un proof of concept

  6. Non eseguire test di sicurezza fisica

  7. Non divulgare pubblicamente le vulnerabilità prima della loro risoluzione

  8. Eliminare tutti i dati sensibili ottenuti durante i test

Il mancato rispetto di queste regole può comportare l'esclusione dal programma.

 

Segnalare una vulnerabilità

Le segnalazioni possono essere inviate tramite e-mail a:

security@skikk.eu

La tua segnalazione deve contenere:

  • Una descrizione chiara del problema

  • URL o endpoint interessati

  • Passaggi per riprodurre il problema

  • Proof of concept, se applicabile

  • Valutazione dell'impatto

Segnalazioni incomplete o poco chiare potrebbero essere respinte.

 

Il nostro impegno

Se rispetti questa policy, ci impegniamo a:

  • Confermare la ricezione della tua segnalazione

  • Valutare e convalidare i problemi segnalati

  • Tenerti aggiornato sui progressi, ove opportuno

  • Non intraprendere azioni legali contro ricerche svolte in buona fede

  • Trattare la tua segnalazione in modo riservato

I tempi di risoluzione possono variare a seconda della gravità e della complessità.

 

Nessuna ricompensa

SKIKK non offre ricompense monetarie, bounty o pagamenti per le vulnerabilità segnalate. Questo è un programma di responsible disclosure basato sulla collaborazione in buona fede, non un programma di bug bounty a pagamento.

Apprezziamo profondamente il tempo e l'impegno dei ricercatori di sicurezza e siamo lieti di riconoscere i contributi validi, quando opportuno, ma la partecipazione è volontaria e non dà diritto ad alcun compenso.

 

Condizioni legali

Inviando una segnalazione, confermi che:

  • Sei l'autore originale della segnalazione

  • Concedi a SKIKK il diritto di utilizzare e dar seguito alla segnalazione

  • Non divulgherai pubblicamente la vulnerabilità senza autorizzazione scritta

  • Non utilizzerai il nome o il marchio SKIKK a scopi promozionali

 

In conclusione

Questo programma può essere modificato o interrotto in qualsiasi momento senza preavviso. La partecipazione è volontaria e non dà diritto ad alcuna ricompensa o compenso.

Grazie per aiutarci a mantenere sicuri SKIKK e i nostri clienti.

Spedizione gratuita nell'UE*
Reso gratuito entro 14 giorni
Garanzia di 2 anni
Assemblato in Europa