Splashtop Inc., fornitore leader di software e servizi di accesso remoto, si impegna a garantire la sicurezza e la protezione dei nostri clienti. A tal fine, Splashtop sta formalizzando la nostra politica di accettazione delle segnalazioni di vulnerabilità nei nostri prodotti. Ci auguriamo di promuovere una partnership aperta con la comunità della sicurezza, e riconosciamo che il lavoro svolto dalla comunità è importante per continuare a garantire la sicurezza di tutti i nostri clienti.

Abbiamo sviluppato questa politica sia per riflettere i nostri valori aziendali, sia per sostenere la nostra responsabilità legale nei confronti dei ricercatori di sicurezza in buona fede che ci forniscono la loro esperienza.

Posizione legale

Splashtop Inc. non intraprenderà azioni legali contro le persone che inviano segnalazioni di vulnerabilità attraverso il nostro Modulo di segnalazione di vulnerabilità. Accettiamo apertamente segnalazioni per i prodotti Splashtop attualmente elencati. Accettiamo di non intraprendere azioni legali contro gli individui che:

  • Si impegni a testare sistemi/ricerche senza danneggiare Splashtop o i suoi clienti.
  • Impegnarsi in test di vulnerabilità nell'ambito del nostro programma di divulgazione delle vulnerabilità.
  • Contatti immediatamente Splashtop se inavvertitamente incontra i dati degli utenti. Non visualizzi, alteri, salvi, memorizzi, trasferisca o acceda in altro modo ai dati e cancelli immediatamente qualsiasi informazione locale dopo aver segnalato la vulnerabilità a Splashtop.
  • Rispettare le leggi del proprio luogo e quelle di Splashtop. Ad esempio, la violazione di leggi che comporterebbero solo un reclamo da parte di Splashtop (e non un reclamo penale) può essere accettabile, in quanto Splashtop sta autorizzando l'attività (reverse engineering o elusione delle misure di protezione) per migliorare il suo sistema.
  • Si astenga dal divulgare i dettagli della vulnerabilità al pubblico prima della scadenza di un periodo di tempo stabilito di comune accordo.

Preferenza, priorità e criteri di accettazione

Utilizzeremo i seguenti criteri per stabilire la priorità e il triage delle candidature.

Cosa vorremmo vedere da lei:

  • I rapporti ben scritti in inglese avranno una maggiore possibilità di essere risolti.
  • I rapporti che includono il codice proof-of-concept ci permettono di fare un triage migliore.
  • I rapporti che includono solo crash dump o altri risultati di strumenti automatici possono ricevere una priorità inferiore.
  • I rapporti che includono prodotti non presenti nell'elenco dell'ambito iniziale possono ricevere una priorità inferiore.
  • La preghiamo di includere il modo in cui ha trovato il bug, l'impatto e qualsiasi potenziale rimedio.
  • Ci faccia sapere se desidera collaborare con noi per rivelare una vulnerabilità. Faremo uno sforzo onesto per lavorare con lei sulla divulgazione delle vulnerabilità, quando possibile.

Cosa può aspettarsi da noi:

  • Riceverà un feedback sulla sua richiesta entro 3 giorni lavorativi dal momento in cui la richiesta è stata esaminata.
  • Dopo il triage, invieremo una tempistica prevista e ci impegneremo a essere il più trasparenti possibile sulla tempistica della riparazione, nonché sui problemi o le sfide che potrebbero prolungarla.
  • Un dialogo aperto per discutere i problemi.
  • Notifica quando l'analisi di vulnerabilità ha completato ogni fase della nostra revisione.

Se non siamo in grado di risolvere i problemi di comunicazione o altri problemi, Splashtop può coinvolgere una terza parte neutrale (come il CERT/CC, l'ICS-CERT o l'autorità di regolamentazione competente) per assistere nel determinare il modo migliore per gestire la vulnerabilità.

Come inviare una vulnerabilità

Per inviare una segnalazione di vulnerabilità al Product Security Team di Splashtop, compili le seguenti informazioni:

Questo documento è stato originariamente scritto in inglese e può essere stato tradotto in diverse lingue. In caso di conflitti tra la versione inglese e la sua traduzione, prevarrà sempre la versione inglese.

Note sulla versione

Versione 1.1: Aggiunto disclaimer per i conflitti tra la versione inglese e le traduzioni (05/05/2021)

Versione 1.0: Creato Politica di divulgazione responsabile (05/12/2020)