ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.
  • cerca in
    #Tutto #News #Comunicati
Sicurezza
Responsible Disclosure
La sicurezza al primo posto

Fastweb considera la protezione dei dati e la tutela dei propri clienti una priorità e per questo invita tutti coloro che abbiano scoperto una vulnerabilità in uno dei propri sistemi, servizi o prodotti, ad inviare una segnalazione.

Mission
Il nostro impegno

Fastweb considera la protezione dei dati e la tutela dei propri clienti una priorità e per questo adotta, per i propri sistemi, servizi e prodotti, un processo di sviluppo sicuro in ogni sua fase, dalla progettazione fino al rilascio.

Nonostante ciò, a volte, alcune vulnerabilità non vengono rilevate e/o si manifestano una volta rilasciato al pubblico il prodotto, l’applicazione o il servizio. È quindi per questo motivo che Fastweb, nell’ottica di migliorare ulteriormente i propri livelli di sicurezza e di affidabilità, ha pubblicato la presente procedura di Responsible Disclosure con l’obiettivo di coinvolgere i ricercatori e più in generale gli appassionati di cyber security affinché aiutino l’azienda a rendere i propri sistemi ancora più sicuri e affidabili, e a garantire la sicurezza e la privacy dei propri clienti, gestendo in modo responsabile le vulnerabilità di sicurezza.

Fastweb invita quindi tutti coloro che abbiano scoperto una vulnerabilità in uno dei propri sistemi, servizi o prodotti, ad inviare una segnalazione seguendo la policy di divulgazione responsabile sotto riportata:

Inviare la segnalazione all’indirizzo email security.alert@fastweb.it con le seguenti informazioni:

Il tipo di vulnerabilità rilevata ed il potenziale impatto; Il portale, l’applicazione, il servizio o il dispositivo impattato dalla vulnerabilità; La descrizione dettagliata della problematica (al fine di poterla replicare); Un archivio/zip di tutto il materiale che possa aiutare a replicare la problematica. Le dimensioni massime dell’archivio non possono superare i 10MB; I dati identificativi (nome, cognome, eventuale organizzazione per cui si lavora, eventuali link a siti o social) per la pubblicazione nella Hall of Fame (qualora venga fornita espressa autorizzazione); Il consenso o meno a comunicare i propri dati all’eventuale produttore della tecnologia coinvolta dalla segnalazione, per una possibile interazione diretta; La disponibilità ad essere inseriti nella sezione Wall of Fame della Responsible Disclosure di Fastweb;

La mail può essere cifrata usando la seguente chiave PGP:
PGP key: 0xD794D11B - Fingerprint: 2657C6774227AB32A78B74F330D5E865D794D11B

Mantenere strettamente riservate e segrete le vulnerabilità scoperte, impegnandosi a non rivelarle o renderle disponibili a terzi per un periodo di tempo che verrà concordato con Fastweb anche per consentire all’azienda di individuare ed applicare le opportune contromisure.
Collaborare con il team Security di Fastweb e i gruppi di lavoro coinvolti.
Compiere ogni sforzo per evitare violazioni della privacy, degrado o interruzione dei servizi e distruzione dei dati. In tal senso è fatto espresso divieto di:
Accedere ai dati, modificarli o scaricarli da un account per il quale non si hanno diritti; Mettere in atto azioni assimilabili ad attacchi di tipo “Denial of Service” o in grado di danneggiare il funzionamento di qualsiasi bene o risorsa Fastweb; Caricare, linkare, eseguire o inviare codice malevolo sfruttando i sistemi di Fastweb; Effettuare test il cui effetto sia l’invio di messaggi indesiderati, spam o altre forme di messaggi non autorizzati;

Una volta ricevuta la segnalazione, Fastweb si impegna a:

Non intraprendere azioni legali contro chi scopre e segnala falle di sicurezza nel rispetto della presente policy di divulgazione responsabile. Qualsiasi richiesta di compenso (in denaro o di altra natura) relativa a vulnerabilità identificate o presunte sarà considerata non conforme alla presente policy di divulgazione responsabile.

Inviare una mail di riscontro entro 20 giorni con cui si comunica che la segnalazione è stata ricevuta e si informa sulla pertinenza della segnalazione rispetto al processo Responsible Disclosure e sull’esito dell’analisi preliminare effettuata da Fastweb.

Fornire la tempistica di risoluzione della vulnerabilità e concordare la data entro cui verrà pubblicato il nome nella sezione “Wall of Fame”. Fastweb si riserva di estendere il periodo di riservatezza e dunque la data di pubblicazione, dandone opportuna informativa a chi ha inviato la segnalazione nel caso fosse necessario ulteriore tempo per correggere la vulnerabilità.

Gestire la segnalazione in maniera adeguata per rispettare i tempi indicati e, in caso di segnalazione relativa a vulnerabilità idonea e non ancora in corso di risoluzione, a ringraziare pubblicamente l'autore nella sezione “Wall of Fame” se questo ha fornito la sua autorizzazione.

Sono escluse dalla presente procedura di Responsible Disclosure le segnalazioni relative alle seguenti casistiche:

esiti di tool automatici di vulnerability assessment/penetration testing/Information Gathering (es SQLmap, Owasp ZAP, nmap, etc.); problematiche di phishing e/o spam (da segnalare invece alla casella abuse@fastweb.it).