Politica di divulgazione delle vulnerabilità
VaultPAM prende molto sul serio la sicurezza della sua piattaforma. Questa politica descrive come segnalare le vulnerabilità di sicurezza e cosa puoi aspettarti da noi durante il processo di divulgazione.
Come segnalare
- Invia un'email a security@vaultpam.com con una descrizione del problema, i passaggi per riprodurlo e una valutazione dell'impatto.
- Per segnalazioni sensibili, richiedi la nostra chiave PGP dallo stesso indirizzo prima di inviare i dettagli.
- Non divulgare la vulnerabilità pubblicamente finché non abbiamo confermato che è stata implementata una correzione.
Safe harbour
La politica di Safe harbour sarà disponibile a breve — contatta security@vaultpam.com per i dettagli in attesa della revisione legale.
Cosa aspettarsi da noi
- Riconoscimento entro 5 giorni lavorativi.
- Aggiornamenti di stato ogni 10 giorni lavorativi mentre il problema è in fase di investigazione.
- Credito nelle note di rilascio (se desiderato) una volta che la correzione viene distribuita.
Divulgazione coordinata
- Seguiamo una timeline di divulgazione coordinata di 90 giorni.
- Lavoreremo con te per allineare la data di divulgazione se la bonifica richiede più tempo.
- Le vulnerabilità critiche che interessano sfruttamenti attivi possono essere divulgate prima dopo la notifica ai clienti.
Escluso da questa politica
I seguenti elementi rientrano al di fuori dell'ambito di questa politica:
- Attacchi di negazione del servizio
- Social engineering del personale di VaultPAM
- Problemi in servizi di terze parti non sotto il nostro controllo
- Risultati da scanner automatizzati senza un impatto dimostrabile