Programma Hexagon sulla divulgazione delle vulnerabilità 

Informativa  

La sicurezza dei dati dei clienti gestiti dai prodotti Hexagon è una componente essenziale della visione e della missione Hexagon. Apprezziamo il contributo alla sicurezza dei nostri prodotti da parte della comunità di ricerca sulla sicurezza esterna. Se ritieni di aver individuato dei bug di sicurezza nei nostri prodotti, saremo lieti di collaborare con te per risolvere il problema.

Attribuiamo grande valore ai contributi della comunità di ricerca sulla sicurezza e riconosciamo l'importanza di un approccio coordinato alla divulgazione delle vulnerabilità. Se hai scoperto una vulnerabilità di sicurezza, ti invitiamo a comunicarcelo immediatamente; saremo lieti di lavorare insieme a te per risolvere tempestivamente la criticità.

Il rispetto degli standard di settore è per noi fondamentale: il nostro programma aderisce ai protocolli di Coordinated Vulnerability Disclosure, Safe Harbor, Open Scope e Core Ineligible Findingse Standard dettagliati per le piattaforme.

Utilizza questo link per inviare la tua segnalazione.

Cerchiamo costantemente di migliorare. Siamo costantemente impegnati a migliorare. Se hai domande sulla nostra sicurezza o suggerimenti su come perfezionare l'Hexagon Vulnerability Disclosure Programme (VDP), scrivici all'indirizzo: ([email protected]).

Prodotti che rientrano nell'ambito di applicazione

Le vulnerabilità di sicurezza identificate nelle proprietà digitali possedute, gestite o controllate da Hexagon AB sono considerate nel perimetro del programma.

Divulgazione al pubblico

Crediamo nella trasparenza della nostra sicurezza; le eventuali vulnerabilità/difetti rilevati sono sempre segnalati all'interno dei documenti di rilascio del prodotto

Ammissibilità e divulgazione responsabile

Per promuovere l'individuazione e la segnalazione di vulnerabilità e aumentare la sicurezza degli utenti, ti chiediamo di:

• Condividere con noi nel dettaglio il problema di sicurezza;
• Essere rispettoso delle nostre applicazioni esistenti. Lo spam di moduli tramite scanner automatici di vulnerabilità non rientra nello spirito della divulgazione responsabile;
• Darci un tempo ragionevole per far fronte al problema prima di rendere pubbliche le informazioni che lo riguardano;
• Non accedere o modificare i nostri dati o i dati dei nostri utenti senza l'esplicita autorizzazione del proprietario. Interagire solo con i tuoi account o testare gli account solo per scopi di ricerca sulla sicurezza;
• In caso di accesso involontario ai dati dell'utente, contattarci immediatamente. Non visualizzare, alterare, salvare, archiviare, trasferire o accedere in altro modo ai dati e cancellare immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Hexagon;
• Agire in buona fede per evitare violazioni della privacy, distruzione dei dati e interruzione o degrado dei nostri servizi (incluso il rifiuto del servizio).
• Per il resto, rispetta tutte le leggi applicabili.

Segnalazione secondo le migliori pratiche

Per garantire che la tua segnalazione sia il più efficace possibile e per aiutare i team di sviluppo a valutare e riprodurre il bug, ti suggeriamo di adottare le seguenti buone pratiche.

1. Crea una segnalazione più efficace includendo informazioni sull'impatto effettivo e potenziale della vulnerabilità, e dettagli su come potrebbe essere attaccata.
2. Includi la metodologia utilizzata per trovare il bug e i passaggi per risolverlo.
3. Invia i tuoi risultati solo dopo aver accuratamente verificato il bug.
4. È preferibile inviare la segnalazione in inglese, tuttavia se non puoi presentarla in inglese in modo sufficientemente dettagliato, puoi inviarla nella tua lingua madre.

Vulnerabilità non incluse nell'ambito di applicazione

Le seguenti questioni esulano dall'ambito di applicazione del VDP:

• Politiche relative a password, e-mail e account: (ad esempio, verifica dell'ID e-mail, scadenza dei link di ripristino e complessità della password).
• Ricerca che richiede l'accesso fisico ai nostri prodotti.
• Intestazioni di sicurezza mancanti che non comportano direttamente una vulnerabilità.
• Utilizzo di librerie con vulnerabilità note (senza prove di fattibilità).
• Reportistica da strumenti o scansioni automatizzati.
• Attacchi che richiedono all'app dell'aggressore l'autorizzazione a sovrapporsi alla nostra app (ad es. clickjacking).
• Presenza di attributi di completamento automatico (autocomplete) nei moduli web.
• Qualsiasi report che spieghi come tu possa scoprire se un determinato nome utente o indirizzo e-mail sia associato a un account Hexagon.
• Qualsiasi accesso ai dati in cui l'utente interessato deve utilizzare un dispositivo mobile con root.
• Qualsiasi report sull'hijacking di librerie di collegamenti dinamici (DLL) senza dimostrare come si ottengono nuovi privilegi.
• Assenza di limitazione della velocità, a meno che non sia correlata all'autenticazione.
• I dispositivi (ios, Android, app desktop) non si scollegano durante la modifica della password.

Conseguenze del rispetto della presente Politica

Non intraprenderemo azioni civili né sporgeremo denuncia alle forze dell'ordine per violazioni accidentali e in buona fede di questa politica. Riteniamo che le attività condotte in conformità con la presente politica costituiscano una condotta "autorizzata" ai sensi del Computer Fraud and Abuse Act. Nella misura in cui le tue attività siano in contrasto con alcune restrizioni previste dalla nostra Politica d'uso accettabile, rinunciamo a tali restrizioni per lo scopo limitato di consentire la ricerca sulla sicurezza ai sensi della presente politica. Non presenteremo alcuna rivendicazione DMCA (Digital Millennium Copyright Act) nei tuoi confronti per avere aggirato le misure tecnologiche da noi adottate per proteggere le applicazioni in questione.

Se la tua segnalazione riguarda una vulnerabilità di un partner commerciale Hexagon, Hexagon si riserva il diritto di condividere interamente la tua segnalazione, compresa la tua identità, con il partner commerciale per facilitare la verifica e la risoluzione della vulnerabilità segnalata. Se un terzo avvia un'azione legale nei tuoi confronti e tu hai rispettato il VDP di Hexagon, Hexagon si attiverà per informare che le tue azioni sono state condotte in conformità con questa politica.

Hexagon può scegliere, a sua esclusiva discrezione, di fornirti accesso gratuito ai prodotti Hexagon. Tale accesso è finalizzato esclusivamente all'esecuzione dei test e può essere revocato in qualsiasi momento con o senza preavviso.

Hexagon non ha attualmente un programma di premi Bug Bounty. Tutte le segnalazioni inviate a Hexagon nell'ambito del Vulnerability Disclosure Program sono effettuate in buona fede e nel migliore interesse dell'intera comunità.