Accedi
Registrati gratis

Prenota una demo

Politica di rilevamento delle vulnerabilità

INTRODUZIONE

OnePlan Limited si impegna a garantire la sicurezza del pubblico proteggendo le sue informazioni dalla divulgazione ingiustificata. Lo scopo di questa politica è fornire ai ricercatori della sicurezza linee guida chiare per condurre attività di rilevamento delle vulnerabilità e comunicare le nostre preferenze su come inviarci le vulnerabilità scoperte.

Questa politica descrive i sistemi e i tipi di ricerca coperti da questa politica, come spedire segnalazioni di vulnerabilità e per quanto chiediamo ai ricercatori di sicurezza di attendere prima di rivelare pubblicamente le vulnerabilità.

Vogliamo che i ricercatori sulla sicurezza si sentano a proprio agio nel segnalare le vulnerabilità che hanno scoperto, come delineato in questa politica, in modo da poterle risolvere e mantenere i nostri utenti al sicuro. Abbiamo sviluppato questa politica per riflettere i nostri valori e mantenere il nostro senso di responsabilità nei confronti dei ricercatori di sicurezza che condividono con noi la loro esperienza in buona fede.

Authorization

Se fai uno sforzo in buona fede per rispettare questa politica durante la tua ricerca sulla sicurezza, considereremo la tua ricerca autorizzata, lavoreremo con te per comprendere e risolvere rapidamente il problema e OnePlan Limited non consiglierà né intraprenderà azioni legali relative alla tua ricerca.

Glinee guida

Ai fini della presente politica, il termine "ricerca" indica attività in cui l'utente:

  • Informaci il prima possibile dopo aver scoperto un problema di sicurezza reale o potenziale.
  • Fare tutto il possibile per evitare violazioni della privacy, degrado dell’esperienza dell’utente, interruzione dei sistemi di produzione e distruzione o manipolazione dei dati.
  • Utilizzare gli exploit solo nella misura necessaria per confermare la presenza di una vulnerabilità. Non utilizzare un exploit per compromettere o esfiltrare dati, stabilire l'accesso alla riga di comando e/o la persistenza, né utilizzare l'exploit per "orientarsi" su altri sistemi.
  • Ci concedi un ragionevole periodo di tempo per risolvere il problema prima di renderlo pubblico.
  • Non comprometterai intenzionalmente la privacy o la sicurezza di OnePlan Personale limitato o terze parti.
  • Non comprometterai intenzionalmente la proprietà intellettuale o altri interessi commerciali o finanziari di alcuno OnePlan Personale o entità limitati o terze parti.

Dopo aver stabilito l'esistenza di una vulnerabilità o aver riscontrato dati sensibili (comprese informazioni di identificazione personale, informazioni finanziarie, informazioni proprietarie o segreti commerciali di qualsiasi parte), è necessario interrompere i test, avvisarci immediatamente e non divulgare tali dati a nessuno.

Sfar fronte

Tla sua politica si applica ai seguenti sistemi e servizi:

oneplanevents.com

seditwin.com

Sistemi e servizi direttamente associati domini e sottodomini sopra elencati rientrano nell'ambito di applicazione. Inoltre, qualsiasi sito web pubblicato con un collegamento a questa politica è considerato nell'ambito di applicazione. I siti Web non esplicitamente elencati qui o pubblicati con un collegamento a questa politica sono considerati fuori dall'ambito di questa politica. Le vulnerabilità scoperte nei sistemi dei nostri fornitori non rientrano nell'ambito di questa politica e devono essere segnalate direttamente al fornitore in conformità con la sua politica di divulgazione (se presente). Se non sei sicuro che un sistema o un endpoint rientri o meno nell'ambito, contatta [email protected] prima di iniziare la ricerca o presso il contatto di sicurezza per il nome di dominio del sistema elencato nel WHOIS .com.

Sebbene sviluppiamo e manteniamo altri sistemi o servizi accessibili tramite Internet, chiediamo che la ricerca attiva e i test siano condotti solo sui sistemi e servizi coperti dall'ambito di questo documento. Se ritieni che un sistema non coperto da questo documento meriti di essere testato, contattaci per discuterne in anticipo. Aumenteremo la portata di questa politica nel tempo.

I [email protected] l'indirizzo e-mail serve SOLO per segnalare difetti di sicurezza del prodotto o del servizio. Non viene utilizzato per ottenere informazioni di supporto tecnico per i nostri prodotti o servizi. Qualsiasi contenuto diverso da quello specifico relativo alle falle di sicurezza nei nostri prodotti o servizi non verrà elaborato.

Rregole di ingaggio

SI ricercatori in materia di sicurezza non devono:

  • Testare qualsiasi sistema diverso da quelli indicati nella sezione "Ambito" di cui sopra,
  • divulgare informazioni sulla vulnerabilità ad eccezione di quanto stabilito nelle sezioni "Segnalazione di una vulnerabilità" e "Divulgazione" di seguito,
  • impegnarsi in test fisici di strutture o risorse,
  • impegnarsi nell’ingegneria sociale,
  • inviare e-mail non richieste agli utenti di OnePlan Limitato, compresi i messaggi di "phishing",
  • eseguire o tentare di eseguire attacchi di tipo “Denial of Service” o “Resource Exhaustion”,
  • introdurre software dannoso,
  • condurre test in modo tale da comprometterne il funzionamento OnePlan Sistemi limitati; o alterare, interrompere o disabilitare intenzionalmente OnePlan Sistemi limitati,
  • testare applicazioni, siti Web o servizi di terze parti che si integrano o si collegano a o da OnePlan Sistemi limitati,
  • eliminare, alterare, condividere, conservare o distruggere OnePlan Dati limitati o rendering OnePlan Dati limitati inaccessibili o
  • utilizzare un exploit per esfiltrare dati, stabilire l'accesso alla riga di comando, stabilire una presenza persistente su OnePlan Sistemi limitati o “pivot” verso altri OnePlan Sistemi limitati.

Si ricercatori in materia di sicurezza possono:

  • Visualizza o memorizza OnePlan Limitare i dati non pubblici solo nella misura necessaria a documentare la presenza di una potenziale vulnerabilità.

SI ricercatori nel campo della sicurezza devono:

  • cessare i test e avvisarci immediatamente non appena viene scoperta una vulnerabilità,
  • cessare i test e informarci immediatamente non appena viene scoperta l'esposizione di dati non pubblici e,
  • eliminare qualsiasi contenuto memorizzato OnePlan Dati non pubblici limitati al momento della segnalazione di una vulnerabilità.

Reportare una vulnerabilità

Accettiamo segnalazioni di vulnerabilità su [email protected]. Le segnalazioni possono essere inviate in forma anonima. Al momento non supportiamo le e-mail crittografate con PGP.

Per facilitare la nostra gestione della vulnerabilità, ci aspettiamo alcuni report ben scritti in inglese o francese contenenti le seguenti informazioni:

  • Ora e data della scoperta
  • Modello e numero del prodotto utilizzando, se possibile, la nomenclatura del fornitore
  • URL, informazioni sul browser inclusi tipo e versione e input richiesti per riprodurre la vulnerabilità;
  • Descrizione tecnica: fornire quali azioni sono state eseguite e il risultato nel modo più dettagliato possibile;
  • Codice di esempio: se possibile, fornire il codice utilizzato nei test per creare la vulnerabilità;
  • Informazioni di contatto della parte segnalante: il metodo migliore per raggiungerlo
  • Piano/i di divulgazione: piano attuale di divulgazione;
  • Valutazione delle minacce/rischi: contiene dettagli sulle minacce e/o sui rischi identificati, incluso un livello di rischio (alto, medio, basso) per il risultato della valutazione;
  • Configurazione software: dettagli sulla configurazione del computer/dispositivo al momento della vulnerabilità;
  • Informazioni rilevanti sui dispositivi connessi se si verifica una vulnerabilità durante l'interazione. Quando un dispositivo secondario attiva la vulnerabilità, è necessario fornire questi dettagli.

Ti preghiamo di non includere dati personali nei tuoi rapporti, tranne quelli necessari per contattarti.

La partecipazione a questo programma non conferisce alcun diritto sulla proprietà intellettuale di proprietà di OnePlan Limited o qualsiasi terza parte.

Le informazioni inviate in base a questa politica verranno utilizzate solo a scopo difensivo, per mitigare o correggere le vulnerabilità. Se i risultati includono vulnerabilità scoperte di recente che interessano tutti gli utenti di un prodotto o servizio e non solo OnePlan In termini limitati, potremmo condividere la tua segnalazione con l'Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI), dove verrà gestita nell'ambito del loro processo coordinato di divulgazione delle vulnerabilità. Non condivideremo il tuo nome o le informazioni di contatto senza esplicita autorizzazione.

Inviandoci una segnalazione, dichiari di aver letto, compreso e accettato le linee guida descritte in questa politica per lo svolgimento di ricerche sulla sicurezza e la divulgazione di vulnerabilità o indicatori di vulnerabilità correlate OnePlan Sistemi informativi limitati e consenso all'archiviazione dei contenuti della comunicazione e delle comunicazioni successive su un sistema informativo dell'UE.

Per aiutarci a classificare e stabilire la priorità degli invii, ti consigliamo di:

  • Rispettare tutti i termini e le condizioni legali delineati all'indirizzo OnePlan Termini di servizio di divulgazione responsabile limitata. (da specificare nella tua email)
  • Descrivi la vulnerabilità, dove è stata scoperta e il potenziale impatto dello sfruttamento.
  • Offrire una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilità (sono utili script o screenshot di prova).

Disclosure

OnePlan Limited si impegna a risolvere tempestivamente le vulnerabilità. Tuttavia, riconosciamo che la divulgazione pubblica di una vulnerabilità in assenza di azioni correttive prontamente disponibili probabilmente aumenta anziché diminuire il rischio. Pertanto, ti chiediamo di astenerti dal condividere informazioni sulle vulnerabilità scoperte per 90 giorni di calendario dopo aver ricevuto la nostra conferma della tua segnalazione. Se ritieni che altri debbano conoscere la vulnerabilità prima di implementare misure correttive, ti chiediamo di consultarci in anticipo.

Potremmo condividere i rapporti sulle vulnerabilità con l'Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI) e con tutti i fornitori interessati. Non condivideremo nomi o dati di contatto dei ricercatori sulla sicurezza a meno che non ci venga dato il permesso esplicito.

Domande

È possibile inviare domande riguardanti questa politica a [email protected]. Ti invitiamo inoltre a contattarci con suggerimenti per migliorare questa politica.

Iscriviti alla nostra Newsletter

Aiuto

Azienda

Indirizzo USA

1968 S.Coast Hwy n. 365
Laguna Beach CA 92651

Indirizzo nel Regno Unito

Casa Kemp
152 – 160 Strada cittadina
Londra, EC1V 2NX
Bandiera francese

oneplaneventi.fr

Indirizzo USA

1968 S.Coast Hwy n. 365
Laguna Beach CA 92651

Indirizzo nel Regno Unito

Casa Kemp
152 – 160 Strada cittadina
Londra, EC1V 2NX
Partner dell'AWS
OnePlan è un funzionario
partner di AWS
Conferenza MIT Sloan sull'analisi sportiva
Miglior Startup 2023
Premi per la tecnologia degli eventi

La migliore piattaforma di gestione degli eventi
La migliore tecnologia per i festival

Miglior sede e tecnologia operativa 2022
Migliore tecnologia per le operazioni di sede 2024
© OnePlan 2024 Tutti i diritti riservati |
Linkedin-in Instagram Facebook f Youtube
Premi per la tecnologia degli eventi
La migliore piattaforma di gestione degli eventi
La migliore tecnologia per i festival
Premi per la tecnologia sportiva
Miglior sede e tecnologia operativa 2022
Menu principale
Menu principale
Menu principale
Menu principale
Menu principale
Menu principale
Menu principale
Menu principale