Programma Hexagon sulla divulgazione delle vulnerabilità

Informativa  

La sicurezza dei dati dei clienti gestiti dai prodotti Hexagon è una componente essenziale della visione e della missione Hexagon. Apprezziamo il contributo alla sicurezza dei nostri prodotti da parte della comunità di ricerca sulla sicurezza esterna. Se ritieni di aver trovato un bug di sicurezza nei nostri prodotti, saremo lieti di lavorare per risolvere il problema.

Cerchiamo costantemente di migliorare. Se hai domande sulla nostra sicurezza o suggerimenti su come migliorare il Programma di divulgazione delle vulnerabilità (VDP) di Hexagon, scrivici all'indirizzo (information.security@hexagon.com).

Prodotti che rientrano nell'ambito di applicazione

I prodotti scelti dai team di prodotto di Hexagon saranno inclusi nell'ambito di applicazione. Tali prodotti saranno riportati nell'elenco prodotti del modulo di segnalazione. I prodotti non elencati sono esclusi dal VDP. I prodotti non specificamente elencati possono comunque ricevere report sulle vulnerabilità utilizzando la categoria Generale dall'elenco dei prodotti. I report saranno esaminati, sebbene la valutazione avvenga sulla base di un ragionevole impegno.

Divulgazione al pubblico

Crediamo nella trasparenza della nostra sicurezza; gli eventuali vulnerabilità/difetti rilevati sono sempre segnalati all'interno dei documenti di rilascio del prodotto

Ammissibilità e divulgazione responsabile

Per promuovere l'individuazione e la segnalazione di vulnerabilità e aumentare la sicurezza degli utenti, ti chiediamo di:

  • Condividere con noi nel dettaglio il problema di sicurezza;
  • Essere rispettoso delle nostre applicazioni esistenti. Lo spam di moduli tramite scanner automatici di vulnerabilità non rientra nello spirito della divulgazione responsabile;
  • Darci un tempo ragionevole per far fronte al problema prima di rendere pubbliche le informazioni che lo riguardano;
  • Non accedere o modificare i nostri dati o i dati dei nostri utenti senza l'esplicita autorizzazione del proprietario. Interagire solo con i tuoi account o testare gli account solo per scopi di ricerca sulla sicurezza;
  • In caso di accesso involontario ai dati dell'utente, contattarci immediatamente. Non visualizzare, alterare, salvare, archiviare, trasferire o accedere in altro modo ai dati e cancellare immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Hexagon;
  • Agire in buona fede per evitare violazioni della privacy, distruzione dei dati e interruzione o degrado dei nostri servizi (incluso il rifiuto del servizio).
  • Per il resto, rispettare tutte le leggi applicabili.

Segnalazione secondo le migliori pratiche

Per garantire che la tua segnalazione sia la più efficace possibile e per aiutare i team di sviluppo a individuare e risolvere il bug, ti invitiamo a seguire i consigli sulle migliori pratiche per la segnalazione dei bug.

  1. Crea una segnalazione più efficace includendo informazioni sull'impatto effettivo e potenziale della vulnerabilità, e dettagli su come potrebbe essere attaccata.
  2. Includi la metodologia utilizzata per trovare il bug e i passaggi per risolverlo.
  3. Invia i tuoi risultati solo dopo aver accuratamente verificato il bug.
  4. È preferibile inviare la segnalazione in inglese, tuttavia se non puoi presentarla in inglese in modo sufficientemente dettagliato, puoi inviarla nella tua lingua madre.

Vulnerabilità non incluse nell'ambito di applicazione

  • Le seguenti questioni esulano dall'ambito di applicazione del VDP:
  • Politiche relative a password, e-mail e account, come: verifica dell'ID e-mail, scadenza del link di ripristino, complessità della password.
  • Ricerca che richiede l'accesso fisico ai nostri prodotti.
  • Intestazioni di sicurezza mancanti che non comportano direttamente una vulnerabilità.
  • Mancanza di migliori pratiche (si richiede la prova di una vulnerabilità di sicurezza).
  • Utilizzo di una libreria vulnerabile nota (senza prove di fattibilità).
  • Reportistica da strumenti o scansioni automatizzati.
  • Attacchi che richiedono all'app dell'aggressore l'autorizzazione a sovrapporsi alla nostra app (ad es. clickjacking).
  • Vulnerabilità che interessano gli utenti di browser o piattaforme non supportati.
  • Ingegneria sociale dei dipendenti o degli appaltatori di Hexagon.
  • Eventuali tentativi fisici contro proprietà o centri dati di Hexagon.
  • Presenza di attributi di completamento automatico sui moduli Web.
  • Mancanza di flag cookie su cookie non sensibili.
  • Qualsiasi report che spieghi come sapere se un determinato nome utente e indirizzo e-mail dispongono di un account Hexagon.
  • Qualsiasi accesso ai dati in cui l'utente interessato deve utilizzare un dispositivo mobile con root.
  • Qualsiasi report sull'hijacking di librerie di collegamenti dinamici (DLL) senza dimostrare come si ottengono nuovi privilegi.
  • Assenza di limitazione della velocità, a meno che non sia correlata all'autenticazione.
  • I dispositivi (ios, Android, app desktop) non si scollegano durante la modifica della password.

Conseguenze del rispetto della presente Politica

Non intraprenderemo azioni civili né sporgeremo denuncia alle forze dell'ordine per violazioni accidentali e in buona fede di questa politica. Riteniamo che le attività condotte in conformità con la presente politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le tue attività siano in contrasto con alcune restrizioni previste dalla nostra Politica d'uso accettabile, rinunciamo a tali restrizioni per lo scopo limitato di consentire la ricerca sulla sicurezza ai sensi della presente politica. Non presenteremo alcuna rivendicazione DMCA (Digital Millennium Copyright Act) nei tuoi confronti per avere aggirato le misure tecnologiche da noi adottate per proteggere le applicazioni in questione.

Se la tua segnalazione riguarda una vulnerabilità di un partner commerciale Hexagon, Hexagon si riserva il diritto di condividere interamente la tua segnalazione, compresa la tua identità, con il partner commerciale per facilitare la verifica e la risoluzione della vulnerabilità segnalata. Se un terzo avvia un'azione legale nei tuoi confronti e tu hai rispettato il VDP di Hexagon, Hexagon si attiverà per informare che le tue azioni sono state condotte in conformità con questa politica.

Hexagon può scegliere, a sua esclusiva discrezione, di fornirti accesso gratuito ai prodotti Hexagon. Tale accesso è finalizzato esclusivamente all'esecuzione dei test e può essere revocato in qualsiasi momento con o senza preavviso.

Hexagon non ha attualmente un programma di premi Bug Bounty. Tutte le notifiche inviate a Hexagon nell'ambito del Vulnerability Disclosure Programme sono fatte in buona fede e nel migliore interesse della comunità.