Politica di divulgazione delle vulnerabilità

Consideriamo la sicurezza la linfa vitale dei nostri prodotti e prendiamo molto sul serio la privacy degli utenti e la protezione dei dati. Che tu sia un utente dei prodotti di sicurezza TerraMow, uno sviluppatore di terze parti o un ricercatore di sicurezza indipendente, le tue scoperte sono fondamentali per migliorare i nostri prodotti e proteggere gli utenti. Accogliamo e apprezziamo la tua collaborazione nella segnalazione di problemi di sicurezza.

1. Chi può segnalare

Chiunque scopra un potenziale problema di sicurezza nei prodotti o servizi TerraMow.

2. Come segnalare

Se individui una vulnerabilità di sicurezza in un prodotto TerraMow o riscontri un incidente di sicurezza, invia le informazioni pertinenti a support@terramow.com.

3. Cosa includere nella tua segnalazione (consigliato)

Prodotto/firmware/software interessato e modello del dispositivo

Passaggi dettagliati, metodo di riproduzione e informazioni sull'ambiente

Valutazione dell'impatto e del rischio (se disponibile)

Facoltativo: PoC (proof of concept), log, screenshot o registrazioni dello schermo

Se preferisci rimanere anonimo o essere accreditato alla divulgazione pubblica.

4. Come gestiamo le segnalazioni (in linea con ISO/IEC 30111 e CVSS 3.1)

4.1 Conferma di ricezione: Confermeremo l'avvenuta ricezione entro 1 giorno lavorativo e condurremo una valutazione iniziale.

4.2 Richiesta di dettagli: Se necessario, ti contatteremo per informazioni riservate aggiuntive che aiutino a riprodurre e verificare il problema.

4.3 Verifica e valutazione: Riprodurremo, verificheremo e valuteremo la vulnerabilità utilizzando CVSS 3.1.

4.4 Correzione e validazione: Per i problemi confermati, svilupperemo e implementeremo patch o mitigazioni e verificheremo le correzioni sulle linee di prodotto rilevanti.

4.5 Rilascio degli aggiornamenti: Forniremo aggiornamenti o patch ai dispositivi interessati tramite canali ufficiali come OTA(over-the-air).

4.6 Monitoraggio e follow-up: Dopo il rilascio, monitoreremo stabilità ed efficacia della sicurezza e continueremo a ottimizzare se necessario.

5. Tempistiche target

-Conferma di ricezione della segnalazione: entro 1 giorno lavorativo.

-Valutazione iniziale: entro 3 giorni lavorativi, con un piano di risposta preliminare

Tempistiche target per la correzione:

-Critico: correzione entro 3 giorni lavorativi

-Alto/Medio: correzione entro 30 giorni lavorativi o implementazione di mitigazioni attuabili

-Basso: correzione entro 180 giorni lavorativi o adozione di misure appropriate.

Nota: Alcuni problemi possono essere limitati dall'hardware, dall'ambiente di distribuzione o da dipendenze di terze parti. Le tempistiche finali saranno determinate dalle condizioni effettive. Ti terremo informato durante tutto il processo.

6. Riservatezza e divulgazione coordinata

Proteggeremo le informazioni del segnalatore e i dettagli della vulnerabilità dalla divulgazione pubblica fino a quando le correzioni non saranno in atto e il coordinamento sarà completato.

Accogliamo la coordinazione sui tempi della divulgazione pubblica. Se lo desideri, possiamo accreditarti nella divulgazione (o mantenerti anonimo su richiesta).

7. Note aggiuntive

Incoraggiamo la divulgazione responsabile: evita di pubblicare dettagli prima di coordinarti con noi per prevenire rischi per gli utenti.

Apprezziamo il contributo professionale di individui e team che ci aiutano a migliorare la sicurezza. Ricompense o opzioni di collaborazione possono essere discusse nelle comunicazioni successive.

Grazie per aiutare TerraMow a proteggere la sicurezza degli utenti. Prendiamo ogni segnalazione molto seriamente—le tue scoperte e il tuo supporto alimentano il nostro miglioramento continuo.