Scegli paese e lingua

Politica di divulgazione delle vulnerabilità

BORA Vertriebs GmbH & Co KG si impegna costantemente per fornire ai clienti prodotti/servizi della massima qualità e affidabilità. Per raggiungere questo obiettivo esaminiamo ogni problema di sicurezza segnalatoci, che venga individuato da esperti esterni, partner o clienti.

 

La seguente direttiva si applica a tutte le vulnerabilità di sicurezza che vorrete segnalarci. Si consiglia di leggere integralmente la presente direttiva e di agire nel rispetto delle disposizioni. Questa procedura ci consente di garantire che le vulnerabilità vengano identificate e trattate correttamente come tali. BORA Vertriebs GmbH & Co KG apprezza il tempo e l’impegno dedicati alla segnalazione delle vulnerabilità. Tuttavia, vorremmo precisare che BORA Vertriebs GmbH & Co KG non prevede alcun compenso monetario per la segnalazione di vulnerabilità.

 

Se ritenete di aver trovato una vulnerabilità, inviateci il vostro rapporto tramite il seguente link o per e-mail con le seguenti informazioni:

 

  • URL o IP sotto il quale si trova la vulnerabilità.
  • Una breve descrizione del tipo di vulnerabilità (ad esempio: “vulnerabilità XSS").
  • I passaggi per la riproduzione. Dovrebbe essere una proof of concept benigna e non distruttiva. Ciò contribuisce a garantire una rapida e accurata elaborazione della segnalazione. Si riduce così anche la probabilità di doppie segnalazioni o di sfruttamento doloso di alcune vulnerabilità, ad esempio l'acquisizione di sottodomini.

 

Appena ricevuta la segnalazione inizieremo a esaminare ed eliminare la vulnerabilità/lacuna segnalata. Facciamo del nostro meglio per rispondere alla vostra segnalazione entro 10 giorni lavorativi ed elaborarla entro 14 giorni lavorativi. Vi terremo aggiornati sui nostri progressi. La priorità delle misure correttive viene valutata in base all'impatto, alla gravità e alla complessità della vulnerabilità. In segno di riconoscimento le persone che hanno individuato la vulnerabilità, previo il loro consenso, saranno inserite nella nostra pagina di ringraziamento.

Direttive

Non vi è consentito:

  • Violare leggi o regolamenti in vigore.
  • Accedere a quantità di dati non necessarie, eccessive o significative.
  • Modificare i dati nei sistemi o nei servizi dell'organizzazione.
  • Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per individuare le vulnerabilità.
  • Fare qualunque forma di tentativo o segnalazione di rifiuto del servizio, ad esempio sovraccaricare un servizio con un elevato numero di richieste.
  • Interferire con i servizi o i sistemi dell'organizzazione.
  • Inviare rapporti in cui vengono elencate vulnerabilità non sfruttabili o rapporti che indicano che i servizi non sono completamente conformi alle “migliori pratiche”, ad esempio intestazioni di sicurezza mancanti.
  • Segnalare le vulnerabilità nella configurazione TLS, ad esempio il supporto di una suite di cifratura “debole” o la presenza del supporto TLS1.0.
  • Distribuire le vulnerabilità o i dettagli connessi in modo diverso da quanto descritto nel file security.txt pubblicato.
  • Eseguire ingegneria sociale, “phishing” o attacchi fisici al personale o alle infrastrutture dell'organizzazione.
  • Richiedere un compenso finanziario per aver rivelato le vulnerabilità.

 

Siete tenuti a:

  • Rispettare sempre le norme sulla protezione dei dati e a non violare la privacy di utenti, dipendenti, appaltatori, servizi o sistemi dell'organizzazione. Ad esempio, non vi è consentito condividere, ridistribuire o archiviare in modo improprio i dati recuperati dai sistemi o dai servizi.
  • Eliminare in modo sicuro tutti i dati ottenuti durante le vostre indagini non appena non siano più necessari o entro un mese dall’eliminazione della vulnerabilità, a seconda di quale sia l’evento che si verifica per primo (o come richiesto dalla legge sulla privacy).
Informazioni legali

La presente direttiva è concepita in modo tale che chiunque individui le vulnerabilità, se segue le istruzioni, non sarà perseguibile di procedimento penale.

Segnalazione delle vulnerabilità

Qualora dobbiate rilevare delle vulnerabilità nei sistemi informatici e nelle applicazioni web di BORA Vertriebs GmbH & Co KG o nei prodotti distribuiti da BORA Vertriebs GmbH & Co KG vi preghiamo di informarci. Adotteremo a stretto giro le misure per eliminare il più rapidamente possibile la vulnerabilità rilevata.

In questo caso, procedere come segue:

 

  • Prima di inviare la segnalazione informarsi sui casi che non rientrano nell'ambito di applicazione della nostra Politica di divulgazione delle vulnerabilità e che non saranno trattati in tale contesto.
  • Inviate i vostri risultati del problema di sicurezza per e-mail a security@bora.com.
  • Non sfruttate la vulnerabilità o il problema, ad esempio scaricando, modificando o cancellando dati o caricando codici.
  • Non trasmettete informazioni sulla vulnerabilità a terze persone o istituzioni, a meno che ciò non sia stato espressamente autorizzato da BORA Vertriebs GmbH & Co KG.
  • Non effettuate attacchi ai nostri sistemi IT che possano compromettere, alterare o manipolare infrastrutture e persone.
  • Non eseguite social engineering (ad es. phishing), (distributed) denial of service, spam o altri attacchi a BORA Vertriebs GmbH & Co KG.
  • Forniteci le informazioni sufficienti per consentirci di riprodurre e analizzare il problema. Forniteci anche un contatto per eventuali domande.

.

Siamo qui per voi!
Innstrasse 1
6342 Niederndorf
Austria
+49 8035 9840 0
00800 7890 0987 UIFN*
support@bora.com

*UIFN - Universal International Freephone Number

Negozio
Prodotti
Assistenza
instagramyoutubeblackpinterestlinkedinfacebook
Colophon Protezione dei dati Vulnerability Disclosure Policy Whistleblower system Diventare fornitore Impostazioni dei cookie

© Copyright 2025 BORA Vertriebs GmbH & Co KG