Soluzioni
Mystery shoppingPer grandi organizzazioniPer PMIAudit interniVerifica di conformità
Dashboard
DashboardProgramma di incentiviIn evidenza
Community
Informazioni sulla nostra communityPiattaforma della communityDiventa un mystery shopper
Prezzi
Risorse
BlogCasi clienteFAQROI Calculator
Chi siamo
Informazioni su
Chi siamoLavora con noiContatti
Accedi
Prenota una demo
Accedi
IT
EN
NL
FR
DE
ES
IT

Politica di divulgazione responsabile

09-09-2024

Facciamo molta attenzione a mantenere il nostro software e i dati che raccogliamo il più sicuri e protetti possibile. Se hai scoperto una vulnerabilità di sicurezza, te lo chiediamo non per condividerlo pubblicamente, ma per condividerlo con noi. Inviaci un'e-mail all'indirizzo dev@secretview.io e includere le seguenti informazioni:

  • La natura della vulnerabilità
  • Una descrizione della vulnerabilità
  • Come possiamo riprodurre la vulnerabilità
  • I browser e le versioni su cui hai testato
  • I sistemi operativi e le versioni su cui hai testato

Per favore, includi anche qualcosa su di te:

  • Nome
  • E-mail
  • Indirizzo
  • Esperienza

Gioca secondo queste regole:

  • Non eliminare, accedere o tentare di eliminare o accedere a dati a cui non sei autorizzato ad accedere
  • Non interrompere o tentare di interrompere i nostri servizi
  • Non accedere o modificare alcun dato
  • Non eseguire o tentare di eseguire un attacco Denial of Service (DoS)
  • Non eseguire strumenti automatici sui nostri server senza previo coordinamento
  • Non abusare o tentare di abusare delle risorse dei nostri server
  • Non condividere pubblicamente alcun dettaglio del problema
  • Non tentare di ricattarci o cercare di venderci la tua segnalazione

In cambio:

  • Non intraprenderemo alcuna azione legale contro di te se giochi secondo le regole di cui sopra
  • Eseguiremo una valutazione del rischio per ogni vulnerabilità segnalata
  • Risponderemo a tutte le segnalazioni inviate correttamente entro 2 settimane

Se non rispetti queste regole, non elaboreremo la segnalazione. Non offriamo alcun compenso per i report di sicurezza.

Cosa non si qualifica come rapporto valido

  • Vulnerabilità segnalate in precedenza.
  • Vulnerabilità note nei componenti del nostro stack tecnologico segnalate entro 72 ore dal loro rilascio.
  • Problemi di sicurezza che possiamo riprodurre solo in condizioni molto specifiche.
  • Bug o funzionalità che dimostrano che un indirizzo email o altre informazioni personali sono note a Secret View, nonché la capacità di usare la forza bruta per raccogliere le informazioni.
  • Vulnerabilità che rappresentano un rischio accettato, tra cui, a titolo esemplificativo ma non esaustivo:
    - Possibilità di registrarsi e utilizzare i nostri servizi senza confermare un indirizzo email.
    - Mancanza di CAPTCHA nei moduli.
    - Mancanza di utilizzo di hardfail {(-all)} sui record SPF.
    - Mancanza di un record {reject} in DMARC
    - Mancanza di record DNS come CAA.
  • Clickjacking e problemi sfruttabili solo tramite clickjacking
  • Mancanza di flag secure/HTTPOnly sui cookie non sensibili
  • OPZIONI Metodo HTTPS abilitato
  • Iniezione dell'header host
  • Tutto ciò che riguarda le intestazioni di sicurezza HTTP, ad esempio
    - Rigorosa sicurezza dei trasporti
    - Opzioni X-Frame
    - Protezione X-XSS
    - Opzioni X-Content-Type
    - Politica sulla sicurezza dei contenuti

Come gestisco i report per i fornitori esterni?

Sul nostro sito Web e sulla nostra piattaforma, utilizziamo diversi fornitori esterni. Se la segnalazione riguarda un problema relativo a uno di questi fornitori, la inoltreremo a loro e considereremo la procedura di segnalazione completata.

Non è un invito a scansionare attivamente

La nostra politica di divulgazione responsabile non è un invito a scansionare attivamente i nostri sistemi per individuare eventuali punti deboli. Monitoriamo il nostro sistema e lo miglioriamo continuamente. Per ogni possibile vulnerabilità, valutiamo il rischio e l'impatto e determiniamo se è accettabile o deve essere risolta. Questo è completamente a nostra discrezione.

Se hai più segnalazioni, cercheremo di gestirle contemporaneamente, tuttavia, come indicato sopra, sconsigliamo la scansione attiva.

Incoraggiamo a segnalare tutte le vulnerabilità, ma scoraggiamo l'uso di strumenti automatici. Anche noi li utilizziamo. L'utilizzo di strumenti automatici per individuare e/o segnalare le vulnerabilità può portare a segnalazioni duplicate. In questi casi, la segnalazione potrebbe essere considerata non valida.

In caso di domande sulle regole di cui sopra, non esitare a contattarci inviando un'e-mail a dev@secretview.io. Risponderemo a tutte le segnalazioni inviate correttamente entro 2 settimane. Se sono trascorse due settimane, non esitare a chiedere un aggiornamento, ma fino ad allora sii paziente mentre analizziamo il rapporto e lo eseguiamo dal nostro team.

Grazie!

Mystery shopping supportato da oltre 75.000 consumatori reali. Pensato per aziende retail e hospitality con più sedi.

Soluzioni
  • Mystery shopping
  • Per grandi organizzazioni
  • Per PMI
  • Audit interni
  • Verifica di conformità
  • Prezzi
Software e Community
  • Dashboard
  • Programma incentivi
  • In evidenza
  • Informazioni sulla nostra community
  • Piattaforma community
  • Diventa un mystery shopper
Risorse
  • Blog
  • Casi di clienti
  • FAQ
  • ROI Calculator
Chi siamo
  • Chi siamo
  • Lavora con noi
  • Contatti
  • Informativa sulla privacy
  • Informativa sui cookie
Termini della community
•
Termini PMI
•
DAC7
•
Divulgazione responsabile
•
Legge sulla segnalazione
Before you go

Book a demo and start with a free pilot

Takes 30 seconds. We'll show you how it works and set up a free pilot across up to 5 of your locations if it's relevant.

We'll get back to you within one business day. No spam.

Voordat je gaat

Plan een demo en start met een gratis pilot

Duurt 30 seconden. We laten zien hoe het werkt en starten gratis een pilot op tot 5 van jouw locaties als dat relevant is.

We nemen binnen één werkdag contact met je op.

Thank you

We've received your request and will get back to you within one business day.