Policy del programma di divulgazione responsabile

Generale

Per Revolut, la sicurezza dei dati degli utenti è una priorità. Lo scopo di questa pagina (il "Programma di divulgazione responsabile") è quello di fornirti tutte le informazioni necessarie in caso tu abbia scoperto o creda di aver scoperto una potenziale vulnerabilità in uno dei nostri servizi. 

Ci impegniamo ad assicurare i massimi livelli di sicurezza e apprezziamo molto l'aiuto della nostra community a tale scopo. Per garantire che le divulgazioni siano effettuate in modo responsabile, attieniti ai termini di seguito: 

  • Tutte le segnalazioni devono essere effettuate attraverso il modulo che si trova in fondo alla pagina. 
  • Assicurati che le divulgazioni siano effettuate il prima possibile: in questo modo, non solo possiamo risolvere i problemi di sicurezza tempestivamente, ma sarai anche il primo a ricevere un premio (se idoneo)!
  • Tutti i premi saranno sotto forma di punti BugCrowd e gestiti da BugCrowd in conformità con i loro termini e condizioni.
  • Le divulgazioni pubbliche di eventuali vulnerabilità (ad esempio, attraverso i social media o canali stampa) possono mettere a rischio la nostra community, perciò assicurati di mantenere uno stato di riservatezza. Tutte le divulgazioni saranno effettuate in conformità con il programma di divulgazione responsabile, in modo che possiamo concentrarci sulla risoluzione dei problemi il prima possibile. Ci riserviamo il diritto di agire a livello legale o di trattenere premi se questa condizione non è rispettata.
  • Se scopri una vulnerabilità ed entri in possesso di dati personali di clienti o dipendenti Revolut, devi assicurarti di eliminarli non appena avrai effettuato la divulgazione attraverso il modulo di seguito. Per dati personali si intendono tutte le informazioni che possono essere utilizzate per identificare un individuo.
  • Nessuna ricerca intrapresa al momento della segnalazione di una vulnerabilità deve essere ottenuta per mezzi illegali, come: 
    • L'accesso, o il tentativo di accesso, a conti o dati che non ti appartengono;
    • Il tentativo di utilizzare malware, virus o simili software dannosi;
    • L'invio di messaggi spam indesiderati.

Domande frequenti

  1. Che cosa non devo segnalare?
    • Suggerimenti di configurazione Sender Policy Framework (SPF), DKIM e DMARC
    • Divulgazione di file o directory notoriamente pubblici (ad esempio, robots.txt)
    • Divulgazione di banner su servizi comuni/pubblici senza un PoC
    • Configurazioni di intestazioni di sicurezza o intestazione mancante
    • Assenza di flag Secure/HTTPOnly su cookie non sensibili
    • Phishing o attacchi di ingegneria sociale
  2. Esiste un premio? 

    Una volta che BugCrowd ha dato la convalida, riceverai punti BugCrowd, come già menzionato su questa pagina: https://researcherdocs.bugcrowd.com/docs/getting-rewarded.
  3. Dopo la divulgazione, quando riceverò notizie?

    L'invio dovrebbe essere riconosciuto entro 72 ore. Quindi la divulgazione dovrà essere convalidata, pertanto sarai contattato entro 5 giorni lavorativi. 
  4. Posso pubblicare qualcosa sulla vulnerabilità dopo la divulgazione?

    Ti chiediamo di mantenere la riservatezza per proteggere al meglio la nostra community. In caso di ulteriori domande, contatta BugCrowd all'indirizzo support@bugcrowd.com.

Modulo di divulgazione responsabile