Politica di divulgazione responsabile

Su eu4ua, la sicurezza dei dati di rifugiati, ospiti e volontari è la nostra priorità. Lo scopo di questa pagina (la "Politica di divulgazione responsabile") è di fornirti tutte le informazioni di cui hai bisogno se hai scoperto una potenziale vulnerabilità in uno dei nostri prodotti o servizi.

Apprezziamo molto l'aiuto della nostra comunità e per assicurarci che qualsiasi divulgazione sia fatta in modo responsabile. Per favore, assicurati di seguire i termini qui sotto:

Puoi inviare i problemi a security@eu4ua.org e per favore includi le seguenti informazioni:

  • URL o indirizzo IP interessato
  • una descrizione del problema che includa una lista di passi per riprodurre il problema
  • il periodo di tempo durante il quale ha potuto osservare il problema

Poiché siamo un'associazione, si prega di notare che non offriamo un programma di bug bounty. Questo significa che non paghiamo ricompense per le vulnerabilità di sicurezza rivelate.

SCOPO

Lo scopo include tutti gli asset dietro eu4ua.org, eccetto quelli relativi a terze parti.

COSA VI CHIEDIAMO

  • Quando cerchi potenziali debolezze nel nostro sistema, assicurati di impostare la seguente intestazione. In questo modo ci aiuterà a discriminare i vostri test da un attore malintenzionato.
X-Bug-Hunter: <nickname>

  • Non esitate a condividere con noi l'indirizzo IP che avete usato per i vostri test mentre inviate il vostro rapporto.
  • Se si scopre un problema che rivela dati personali (PII), è necessario assicurarsi che questi vengano cancellati non appena si è fatta la rivelazione.
  • Non violate nessun'altra legge o regolamento applicabile.

FAQs

Cosa non dovrei segnalare?

  • Suggerimenti per la configurazione di Sender Policy Framework (SPF), DKIM e DMARC
  • Divulgazione di file o directory pubbliche conosciute (ad esempio robots.txt)
  • Informazione sul banner dei servizi comuni/pubblici
  • Attacchi di phishing o ingegneria sociale

Quando avrò notizie da voi dopo aver fatto una rivelazione?

Il nostro team ti invierà una risposta per farti sapere che abbiamo ricevuto la tua segnalazione e ti contatterà se abbiamo bisogno di ulteriori informazioni.

Posso pubblicare qualcosa sulla vulnerabilità dopo la mia divulgazione?

Dopo la revisione e il problema risolto dal nostro team, vi invieremo un consenso scritto per divulgare il problema.

Grazie per il vostro sostegno.