Logo Vimar payoff positivoLogo Vimar positivo

Security Incident

Politica di segnalazione

Poiché la sicurezza è di fondamentale importanza per noi e per i nostri clienti, noi di Vimar ci impegniamo a garantire la sicurezza e la protezione dei nostri prodotti e servizi. Vimar supporta la divulgazione coordinata delle vulnerabilità e incoraggia test di vulnerabilità responsabili, prendiamo sul serio qualsiasi segnalazione di potenziali vulnerabilità di sicurezza.

Segui questi passaggi per segnalare una potenziale vulnerabilità della sicurezza.

Procedura di segnalazione

  1. Si prega di utilizzare la nostra chiave pubblica PGP (download) per crittografare qualsiasi invio di e-mail a noi all'indirizzo security-report-on-iot@vimar.com
  2. Fornisci il tuo numero di riferimento e informazioni di contatto sufficienti, come;
    a. Le sue informazioni di contatto;
    b. Nome della persona che ha riscontrato la vulnerabilità;
    c. Data in cui è stata rilevata la vulnerabilità e dettagli su come è stata scoperta.
    d. Utilizzare la lingua inglese.
  3. Includere una descrizione tecnica del problema o della vulnerabilità. Fornisci quante più informazioni possibili sul prodotto o servizio, come il numero di versione e la configurazione utilizzata (ovvero gli strumenti). Se hai scritto una prova di concetto specifica o un codice exploit, forniscine una copia. Assicurati che tutto il codice inviato sia chiaramente contrassegnato come tale e crittografato con la nostra chiave PGP (download);
  4. Se hai identificato minacce specifiche relative alla vulnerabilità, valutato il rischio, fornisci tali informazioni.
DownloadDimensioneData
PGP public key1.97 K15/06/2021

Rapporto valutazione e azione

  1. Vimar: 
    a. Confermerà di aver ricevuto la tua segnalazione entro 14 giorni lavorativi;
    b. Fornirà un numero di tracciamento univoco per la tua segnalazione;
    c. Assegnerà una persona di contatto a ciascun caso presentato;
    d. Avviserà i team tecnici interni interessati.
  2. Vimar ti terrà informato sullo stato della tua segnalazione.
  3. Se la vulnerabilità è effettivamente in un componente o servizio di terze parti che fa parte del nostro prodotto/servizio, invieremo la segnalazione a tale terza parte e ti informeremo di tale notifica. A tal fine, ti preghiamo di informarci nella tua e-mail se è consentito in tali casi fornire le tue informazioni di contatto a terzi.
  4. Dopo aver ricevuto una segnalazione di vulnerabilità, Vimar;
    a. Verificherà la vulnerabilità segnalata;
    b. Lavorarerà su una risoluzione;
    c. Eseguirà test di controllo qualità/convalida sulla risoluzione;
    d. Rilascierà la delibera;
    e. Condividerà le lezioni apprese con i team di sviluppo.
  5. Vimar utilizzerà i processi di notifica ai clienti esistenti per gestire il rilascio di patch o correzioni di sicurezza, che possono includere, senza limitazioni e a sola discrezione di Vimar, la notifica diretta al cliente o il rilascio pubblico di una notifica di avviso sul nostro sito web.
Rapporto Valutazione E Azione

Importante

  1. Astenersi dall'includere informazioni personali sensibili in eventuali schermate o altri allegati forniti dall'utente.
  2. Non eseguire alcun test di vulnerabilità su applicazioni, prodotti o servizi che sono attivamente in uso. I test di vulnerabilità devono essere eseguiti solo su dispositivi o applicazioni, prodotti o servizi non attualmente in uso o non destinati all'uso.
  3. Per applicazioni, prodotti o servizi basati sul web, utilizzare ambienti demo/test per eseguire test di vulnerabilità.
  4. Non approfittare della vulnerabilità o del problema che hai scoperto; ad esempio, scaricando più dati del necessario per dimostrare la vulnerabilità o eliminando o modificando qualsiasi dato. Cerca di non cancellare o utilizzare dati appartenenti ad altri utenti.
  5. Nell'ambito del coordinamento responsabile della divulgazione delle vulnerabilità, ti invitiamo a collaborare con Vimar per selezionare le date di rilascio pubblico per le informazioni sulle vulnerabilità scoperte.
  6. Nello sforzo di trovare le vulnerabilità, le azioni non devono essere sproporzionate, come ad esempio, senza limitazioni:
    a. Utilizzo dell'ingegneria sociale per ottenere accesso o informazioni;
    b. Installare o costruire backdoor in un'applicazione informativa, un prodotto o un servizio con l'intenzione di utilizzarlo per dimostrare la vulnerabilità;
    c. Utilizzare una vulnerabilità oltre quanto necessario per stabilirne l'esistenza.
    d. Apportare modifiche all'applicazione, al prodotto o al servizio;
    e. Accesso ripetuto all'applicazione, prodotto o servizio o condivisione dell'accesso con altri;
    f. Utilizzo di attacchi di forza bruta per ottenere l'accesso all'applicazione, al prodotto o al servizio. Non si tratta di una vulnerabilità in senso stretto, ma di tentativi ripetuti di password.
  7. Vimar fornirà pieno credito ai ricercatori che effettuano una segnalazione di vulnerabilità o eseguono test, nelle informazioni di rilascio di patch o fix di sicurezza rilasciate pubblicamente, se richiesto.
Vimar Security Incident Policy Vimar

Avviso

Se condividi qualsiasi informazione con Vimar nel contesto della divulgazione responsabile, accetti che le informazioni che invii saranno considerate non proprietarie e non riservate. Vimar è autorizzata a utilizzare le informazioni condivise, o parte di esse, senza alcuna restrizione. Accetti che l'invio di informazioni non crei alcun diritto per te o alcun obbligo per Vimar. I dati personali sono trattati da Vimar in base alla privacy policy di Prodotto e App del sito.