Policy di Segnalazione Vulnerabilità (Responsible Disclosure)

Vulnerability Disclosure Policy (Responsible Disclosure)

CERTIFICATO IWZ incoraggia la segnalazione responsabile di vulnerabilità che possano impattare la sicurezza dei propri siti e sistemi. Questa policy definisce scope, regole di test, safe harbor e processo di gestione.

CERTIFICATO IWZ encourages responsible reporting of vulnerabilities that may impact the security of its websites and systems. This policy defines scope, testing rules, safe harbor and handling process.

Canale ufficiale: invia la segnalazione via email indicando dettagli tecnici e impatto. Se possibile, includi Proof-of-Concept non distruttivo e step di riproduzione.

Official channel: submit your report by email including technical details and impact. If possible, include a non-destructive proof-of-concept and reproduction steps.

Report a Vulnerability Information Security

Safe Harbor No disruption Coordinated disclosure Safe Harbor No disruption Coordinated disclosure

1. Ambito (Scope)

1. Scope

Incluso: vulnerabilità su domini e sistemi gestiti da CERTIFICATO IWZ (es. sito web, portali di verifica, aree riservate).
Escluso: sistemi di terze parti non controllati da CERTIFICATO IWZ (es. servizi esterni non gestiti direttamente).
Social engineering: non è consentito (phishing, vishing, pretexting).

Included: vulnerabilities affecting domains and systems operated by CERTIFICATO IWZ (e.g., website, verification portals, restricted areas).
Excluded: third-party systems not controlled by CERTIFICATO IWZ (e.g., external services not directly managed).
Social engineering: not allowed (phishing, vishing, pretexting).

2. Regole di test (Responsible Testing)

2. Testing rules (Responsible Testing)

È consentito testare in modo responsabile, evitando impatti su disponibilità, integrità o riservatezza di dati e servizi. Non sono consentite attività distruttive o invasive.

Responsible testing is allowed, avoiding impacts on availability, integrity or confidentiality of data and services. Destructive or invasive activities are not allowed.

Consentito	Allowed	Non consentito	Not allowed
PoC non distruttivo, scansioni limitate, validazione su account propri.	Non-destructive PoC, limited scanning, validation on your own accounts.	DDoS, brute force massivo, esfiltrazione dati, alterazione/distruzione dati.	DDoS, large-scale brute force, data exfiltration, data alteration/destruction.
Segnalazione rapida e dettagliata con impatto e remediation.	Prompt, detailed reporting with impact and remediation hints.	Accesso a dati di terzi, persistenza, movimento laterale, ransomware.	Accessing third-party data, persistence, lateral movement, ransomware.

3. Safe Harbor (tutela per segnalazioni in buona fede)

3. Safe Harbor (good-faith protection)

Se agisci in buona fede e rispetti questa policy, CERTIFICATO IWZ considererà le attività come autorizzate ai fini della segnalazione responsabile. È richiesto: (i) minimizzare impatti, (ii) evitare accesso a dati non necessari, (iii) non divulgare pubblicamente prima del coordinamento.

If you act in good faith and comply with this policy, CERTIFICATO IWZ will consider your activities authorized for the purpose of responsible disclosure. You must: (i) minimize impact, (ii) avoid unnecessary access to data, (iii) not publicly disclose before coordination.

4. Processo e tempi di risposta

4. Process and response timelines

Ricezione: conferma di ricezione ove possibile.
Valutazione: triage (riproducibilità, severità, impatto).
Mitigazione: correzione o workaround in base a priorità.
Disclosure coordinata: eventuale pubblicazione concordata dopo remediation.

Acknowledgement: receipt confirmation where possible.
Assessment: triage (reproducibility, severity, impact).
Mitigation: fix or workaround based on priority.
Coordinated disclosure: optional mutually agreed publication after remediation.

5. Come inviare una segnalazione efficace

5. How to submit an effective report

Asset: URL/endpoint, ambiente, account (se usato), timestamp.
Descrizione: vulnerabilità, impatto, severità stimata.
Riproduzione: step-by-step + evidenze (log/screenshot) senza dati di terzi.
Mitigazione: suggerimenti (se disponibili).

Asset: URL/endpoint, environment, account (if used), timestamp.
Description: vulnerability, impact, estimated severity.
Reproduction: step-by-step + evidence (logs/screens) without third-party data.
Mitigation: suggestions (if available).

Use Report Template Data Processing