Programmi di segnalazione delle vulnerabilità e bug bounty
Il nostro impegno per i più elevati standard di sicurezza
Per incoraggiare la segnalazione responsabile delle vulnerabilità di sicurezza, abbiamo attivato sia un programma di divulgazione delle vulnerabilità (VDP) rivolto al pubblico e sia un programma Bug Bounty privato. Questi programmi sono progettati per favorire un approccio collaborativo alla sicurezza, garantendo la protezione dei dati e della privacy dei nostri utenti.
- Programma di divulgazione delle vulnerabilità (Vulnerability Disclosure Program - VDP): Questo programma è aperto al pubblico e consente di segnalare le vulnerabilità individuate nei nostri sistemi e nelle nostre applicazioni. Apprezziamo l’impegno di chi vorrà collaborare al programma segnalando vulnerabilità di sicurezza in relazione ai nostri sistemi. Si precisa che non sono previsti premi/ricompense.
- Programma Bug Bounty privato: oltre al nostro VDP, gestiamo anche un programma Bug Bounty privato in cui invitiamo ricercatori selezionati a testare i nostri asset e li ricompensiamo per report di vulnerabilità validi. Questo programma è solo su invito.
Safe harbor legale
Consideriamo autorizzate le attività che aderiscono a questo programma e non intraprenderemo azioni legali nei confronti di chi segnala in modo responsabile le vulnerabilità. Se un terzo dovesse intentare un'azione legale nei tuoi confronti, e a condizione che tu abbia rispettato questo programma, adotteremo le misure necessarie per informare le autorità competenti che le tue azioni sono state condotte in conformità con le nostre linee guida.
Ambito del Vulnerability Disclosure Program
Le vulnerabilità che coinvolgono prodotti in manutenzione, come previsto dal nostro ciclo di vita, saranno oggetto di analisi e intervento da parte del nostro team. Oltre ai prodotti, sono attualmente inclusi i seguenti domini:
- *.clearance.network
- *.clearid.io
- *.genetec.cloud
- *.genetec.com
- login.genetec.com
- *.genetec.one
- *.geneteccloud.com
- *.autovu.com
- *.curbsense.com
- *.autovu.cloud
- *.ops.center
Quali vulnerabilità è possibile segnalare nel Vulnerability Disclosure Program?
Vulnerabilità qualificanti
- Difetti di autenticazione
- Elusione dei modelli di autorizzazione della nostra piattaforma/privacy
- Elevazione dei privilegi
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF/XSRF)
- Esecuzione di codice da remoto
- SQL Injection
- Inclusione di file locali
- Riferimento diretto a oggetto non sicuro
- Server-side request forgery
Vulnerabilità non incluse nell'ambito
- Vulnerabilità basate sull'ingegneria sociale (inclusi gli attacchi di phishing contro i dipendenti di Genetec)
- Attacchi Denial of Service (DOS)
- Tentativi fisici contro la proprietà o i data center di Genetec
- Attacco che prende il controllo dei privilegi di amministratore su una macchina di servizio
- Mancanza di best practice senza impatto dimostrabile sulla sicurezza (ad es. intestazioni HTTP mancanti, configurazione SSL/TLS, ecc.)
- Cookie non sicuri per cookie non sensibili o cookie di terze parti
- Invio di XSS ciechi tramite e-mail o spam ai dipendenti Genetec
- Pacchetti di terze parti vulnerabili senza proof of concept (ad es. jQuery)
- Record DNS CAA mancante