Politica di divulgazione responsabile

In DFDS tutto ciò che concerne la sicurezza viene affrontato con la massima serietà. Questo documento illustra le procedure di sicurezza e le politiche generalmente adottate per la divulgazione delle vulnerabilità. Se stai valutando di segnalare una vulnerabilità (a noi, la "Società"), ti consigliamo di leggere interamente la presente politica sulla divulgazione delle vulnerabilità prima di procedere.

Pur apprezzando il tempo dedicato a segnalare le vulnerabilità della sicurezza nel rispetto di questa politica, non offriamo ricompense monetarie per la divulgazione delle vulnerabilità.

Se ritieni di aver trovato una vulnerabilità di sicurezza, inviaci la tua segnalazione utilizzando il seguente indirizzo email: security@dfds.com.

Nella segnalazione, includi i seguenti dettagli:

• sito web, repository git, IP o pagina in cui si rileva la vulnerabilità;

• breve descrizione della vulnerabilità (ad es.: "vulnerabilità XSS");

• procedura per riprodurre quanto segnalato.

Assicurati che i test siano svolti in buona fede, che non siano distruttivi e che servano come prova di concetto.

Queste informazioni ci consentono di analizzare in modo rapido e accurato la segnalazione.

Rispondiamo alle segnalazioni pervenute entro 5 giorni lavorativi con l'obiettivo di analizzarle entro 15 giorni lavorativi. Ti informiamo sullo stato di avanzamento della segnalazione. Le priorità dei rimedi da apportare vengono stabilite sulla base di fattori quali impatto, gravità e complessità. Sebbene sia possibile richiedere aggiornamenti sullo stato delle segnalazioni, ti invitiamo a non sollecitare risposte più di una volta ogni 14 giorni, per consentire ai nostri team di concentrarsi sui rimedi da adottare.

Una volta adottato il rimedio opportuno ti invieremo una comunicazione invitandoti a verificare che la soluzione apportata sia adeguata a quanto segnalato. Risolta la vulnerabilità, accettiamo eventuali richieste di divulgazione della segnalazione. Puntiamo a unificare le linee guida per gli utenti interessati, quindi continua a coordinare la pubblicazione con noi.

NON è consentito:

• Violare leggi o normative vigenti.

• Accedere a quantità di dati eccessive, significative o non necessarie.

• Modificare i dati nei sistemi o servizi della Società.

• Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per trovare vulnerabilità.

• Tentare di segnalare qualsiasi forma di DoS, ad esempio, sovraccaricando un servizio con un elevato volume di richieste.

• Interrompere i servizi o i sistemi della Società.