Open Fiber S.p.A. si riserva il diritto di aggiornare le seguenti indicazioni in qualsiasi momento. Eventuali modifiche verranno pubblicate su questa pagina, pertanto invitiamo gli utenti a consultarla regolarmente.

Eventuali segnalazioni inerenti a condotte penalmente rilevanti ai sensi della legge 22 aprile 1941 n. 633 (“Protezione del diritto d’autore e di altri diritti connessi al suo esercizio”) dovranno essere trasmesse all’indirizzo mail internetabuse@openfiber.it

OpenFiber S.p.A. si riserva il diritto di aggiornare le seguenti indicazioni in qualsiasi momento. Eventuali modifiche verranno pubblicate su questa pagina, pertanto invitiamo i ricercatori ed ethical hacker a consultarla regolarmente.


Introduzione & Ambito di applicazione

Open Fiber S.p.A. attribuisce la massima importanza alla sicurezza dei propri sistemi, applicazioni, infrastrutture e ai dati dei suoi clienti, per questo motivo ha istituito un canale dedicato e sicuro per la segnalazioni di vulnerabilità o altre criticità, assicurando così una gestione tempestiva delle stesse.


Principi di Responsible Disclosure

Nel segnalare una vulnerabilità, è essenziale che siano rispettati i seguenti principi fondamentali:

  • La segnalazione dovrà essere effettuata in forma non anonima, utilizzando esclusivamente le informazioni riportate al seguente link
  • Non è autorizzata la divulgazione di vulnerabilità verso altre parti o al pubblico

Inoltre, non è consentito:

  • Eseguire attività che possano compromettere la sicurezza, la privacy o la disponibilità dei sistemi di Open Fiber S.p.A., dei suoi clienti o dei suoi fornitori e collaboratori
  • Accedere, modificare o cancellare dati, anche se accidentalmente esposti


Cosa includere nella segnalazione

Per aiutarci a comprendere e risolvere la vulnerabilità, è necessario includere nella segnalazione:

  • Una descrizione dettagliata della vulnerabilità e del suo potenziale impatto (codice di exploit, riferimento CVSS, etc.)
  • Dettagli tecnici, passaggi e strumenti utilizzati per riprodurre la vulnerabilità (ad esempio: URL, screenshot, codice attaccante, query eseguite)


Come gestiamo le segnalazioni

Dopo aver ricevuto la segnalazione:

  • Sarà confermata la ricezione e saranno forniti eventuali aggiornamenti, laddove possibile
  • Open Fiber S.p.A. manterrà riservate le informazioni fino alla chiusura della vulnerabilità

OpenFiber S.p.A. non riconosce ricompense (in denaro o di altra natura) per le segnalazioni ricevute riguardanti le vulnerabilità.


Esclusioni 

Esulano dallo scopo:

  • Attacchi di tipo “social engineering” su dipendenti o collaboratori
  • Esiti di tool automatici di vulnerability assessment/penetration testing/Information Gathering
  • Esiti di attacchi di Denial of Service (DoS, DDoS), per i quali Open Fiber S.p.A. si riserva di intraprendere le dovute azioni
  • Bug relativi alla User Interface o alla User Experience che non costituiscono una falla di sicurezza (es. errori di battitura, nel formato della pagina)
  • Rilevazioni su domini non direttamente gestiti da Open Fiber S.p.A. o comunque non facenti parte del perimetro sopra esplicitato
  • Tutte le segnalazioni non inerenti alla sicurezza

È necessario astenersi da qualsiasi attività che potrebbe comportare una violazione, perdita e/o distruzione dei dati relativi ai sistemi e servizi coinvolti nella segnalazione, degrado o interruzione dei servizi. In tal senso, non è autorizzato:

  • Accedere ai dati, modificarli, scaricarli
  • Mettere in atto azioni assimilabili ad attacchi di tipo “Denial of Service” in grado di
  • Danneggiare il funzionamento di qualsiasi bene o risorsa Open Fiber S.p.A.
    Caricare, linkare, eseguire o inviare codice malevolo sfruttando i sistemi di Open Fiber S.p.A.
  • Effettuare test il cui effetto sia l’invio di messaggi indesiderati, spam o altre forme di messaggi non autorizzati


Come trattiamo i dati

Consultare l’Informativa privacy.


Rispetto della Legge

Effettuando una segnalazione in conformità con questa politica, si conferma di agire in buona fede e nel rispetto di tutte le leggi e normative applicabili. Non sono tollerati comportamenti che violino la legge. Open Fiber S.p.A. si riserva il diritto di intraprendere azioni legali in caso di attività irregolari o illecite.