Politica di divulgazione delle vulnerabilità

Introduzione

In Ivanti ci impegniamo a garantire la sicurezza e l'integrità dei nostri prodotti software aziendali. Riconosciamo l'importantissimo ruolo che i ricercatori sulla sicurezza, gli hacker etici e in generale tutti coloro che si occupano di sicurezza svolgono nell'identificazione e nella segnalazione delle vulnerabilità. La presente Politica di divulgazione delle vulnerabilità illustra il nostro impegno a lavorare in collaborazione con i ricercatori sulla sicurezza per migliorare la sicurezza del nostro software. Essa delinea i passaggi necessari per segnalare le vulnerabilità, cosa ci aspettiamo e cosa puoi aspettarti da noi.

Se riscontri problemi relativi alla sicurezza che coinvolgono prodotti o soluzioni Ivanti, compresi quelli relativi a prodotti di società acquisite da Ivanti (come Pulse Secure, Cherwell e MobileIron), o se disponi di risultati sulla sicurezza relativi all'infrastruttura Ivanti, ti invitiamo a segnalarli attraverso uno dei canali descritti in "Canali di segnalazione". Il tuo sguardo vigile e il tuo contributo sono fondamentali per salvaguardare la sicurezza dei nostri prodotti e per mantenere l'integrità della nostra infrastruttura. Apprezziamo il tuo impegno nel potenziare gli sforzi di sicurezza di Ivanti. Grazie per aver collaborato con noi in questa importante impresa.

Ambito

All'interno dell'ambito

La Politica di divulgazione delle vulnerabilità si applica a qualsiasi risorsa digitale posseduta, gestita o mantenuta in Ivanti, inclusi i prodotti e i servizi Ivanti e l'infrastruttura IT e OT di Ivanti (compresi i sistemi e la rete).

Al di fuori dell'ambito

I seguenti tipi di attacchi non vengono considerati parte del nostro Programma di divulgazione delle vulnerabilità:

  • Attacchi di tipo Denial of Service, inclusi gli attacchi di esaurimento delle risorse, sfruttamenti che causano negazioni di servizi o qualsiasi forma di "test di resilienza" contro Ivanti Corporate o Ivanti Hosted Solutions che potrebbero portare all'interruzione del servizio.
  • Verifica fisica di Uffici, Centri dati, strutture di collocazione Ivanti, ecc.
  • Ingegneria sociale dei nostri dipendenti, clienti, partner, ecc.
  • Qualsiasi attacco o evento contro un prodotto o una soluzione Ivanti ospitati da un cliente nella propria rete che non abbia già ricevuto l'approvazione per eseguire il test.
  • Risultati da scanner automatizzati

Premi per la vulnerabilità

Oltre al Programma di divulgazione delle vulnerabilità, Ivanti gestisce un programma bug-bounty specializzato su HackerOne per prodotti Ivanti selezionati. Questo programma esclusivo è solo su invito e garantisce ai ricercatori nel campo della sicurezza l'accesso ad ambienti dedicati che ospitano i prodotti Ivanti.

Se la tua segnalazione di vulnerabilità riguarda un prodotto che rientra nell'ambito del programma bug-bounty di Ivanti, la tua segnalazione verrà spostata nel programma bug-bounty di Ivanti e potresti ricevere un premio. Visita  https://hackerone.com/ivanti  per ulteriori dettagli.

Ivanti si riserva il diritto esclusivo di valutare e qualificare le proposte per questi premi a sua esclusiva discrezione.

Canali di segnalazione

Se hai individuato una vulnerabilità della sicurezza in qualsiasi prodotto o servizio software aziendale Ivanti, ti invitiamo a segnalarcelo in modo responsabile e coordinato attraverso una delle seguenti modalità:

1. Modulo per l'invio del rapporto sulle vulnerabilità facile da usare.

2. Email a [email protected]. Il tuo rapporto dovrebbe includere le seguenti informazioni:

  1. Una descrizione dettagliata della vulnerabilità.
  2. Proof of Concept [PoC], se applicabile.
  3. Passaggi necessari per riprodurre la vulnerabilità.
  4. Informazioni sul prodotto o servizio interessato e sulla relativa versione.
  5. Le tue informazioni di contatto, inclusi nome, indirizzo email ed eventuali dettagli di contatto aggiuntivi.

Se desideri crittografare la comunicazione, utilizza la nostra chiave PGP qui (impronta digitale: 5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D).

3. Per domande generali sulla sicurezza, scrivi a [email protected].

Procedura di gestione delle segnalazioni di vulnerabilità

  • In risposta alla tua segnalazione, il nostro partner VDP/bug-bounty, HackerOne, ti risponderà tempestivamente e collaborerà con te per comprendere e convalidare la tua segnalazione.
  • Il nostro team di sicurezza lavorerà per convalidare la vulnerabilità entro dieci giorni lavorativi dalla ricezione.
  • Una volta confermata la vulnerabilità, Ivanti stabilirà la priorità di risoluzione in base alla gravità. Forniremo aggiornamenti regolari al segnalatore sullo stato del processo di riparazione.
  • Ci impegniamo ad affrontare e mitigare la vulnerabilità segnalata in buona fede. Potremmo chiedere input o assistenza al segnalatore, se necessario.
  • Ivanti può, di volta in volta, approvare e rendere disponibili procedure più specifiche per la gestione di determinati tipi di vulnerabilità della sicurezza. Tali procedure aggiuntive sono estensioni del presente Programma di divulgazione delle vulnerabilità.

Codici di condotta

  • Rispettare le regole, incluso il rispetto della presente politica e di qualsiasi altro accordo pertinente. In caso di discordanza tra la presente politica e altre condizioni applicabili, prevarranno le condizioni della presente politica. 
  • Segnala tempestivamente qualsiasi vulnerabilità che hai rilevato. 
  • Evita di violare la privacy di terzi, di interrompere i nostri sistemi, di distruggere dati e/o di danneggiare l'esperienza dell'utente. 
  • Utilizza solo i "Canali ufficiali" per discutere con noi d'informazioni sulla vulnerabilità. 
  • Concedici un periodo di tempo ragionevole (almeno 120 giorni dalla segnalazione iniziale) per risolvere il problema prima di renderlo pubblico. 
  • Se una vulnerabilità fornisce un accesso involontario ai dati: limita la quantità di dati a cui si accede al minimo richiesto per dimostrare efficacemente una Proof of Concept; e interrompi i test e invia immediatamente un rapporto se trovi dati utente durante i test, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie. 
  • Dovresti interagire solo con gli account di prova di tua proprietà o con l'autorizzazione esplicita del titolare dell'account; and 
  • Non commettere estorsioni. 

Approdo sicuro legale

Per incoraggiare la ricerca e la divulgazione responsabile delle vulnerabilità della sicurezza, Ivanti non intraprenderà azioni legali contro i ricercatori sulla sicurezza che si impegnano in buona fede a rispettare e segnalare le vulnerabilità della sicurezza in conformità con il presente Programma di divulgazione delle vulnerabilità.

Se la tua ricerca sulla sicurezza coinvolge le reti, i sistemi, le informazioni, le applicazioni, i prodotti o i servizi di una terza parte (che non siamo noi), non possiamo vincolare tale terza parte, che potrebbe intraprendere azioni legali o informare le forze dell'ordine. Non possiamo e non autorizziamo ricerche sulla sicurezza a nome di altre entità e non possiamo in alcun modo offrirci di difenderti, indennizzarti o proteggerti in altro modo da qualsiasi azione di terzi basata sulle tue azioni.

Come di consueto, sei tenuto a rispettare tutte le leggi a te applicabili e a non interrompere o compromettere alcun dato oltre a quanto consentito dal nostro Programma di divulgazione delle vulnerabilità.

Ti preghiamo di contattarci prima di adottare comportamenti che potrebbero essere incoerenti o non contemplati dalla presente politica. Ci riserviamo il diritto esclusivo di determinare se hai compiuto uno sforzo in buona fede per rispettare e segnalare le vulnerabilità della sicurezza in conformità con il presente Programma di divulgazione delle vulnerabilità, e il contatto proattivo con noi prima di intraprendere qualsiasi azione è un fattore significativo in tale decisione. In caso di dubbi, chiedi prima a noi!

Modulo per l'invio del rapporto sulle vulnerabilità

Di seguito è disponibile il nostro  modulo per l'invio della segnalazione di vulnerabilità (fornito da HackerOne). Per poter utilizzare il modulo è necessario accettare i cookie di terze parti cliccando su "Abilita Cookie". Puoi trovare il modulo anche qui.

Versione 2.0 (marzo 2024). La Politica di divulgazione delle vulnerabilità è anche disponibili per il download.