Policy
Sicurezza

Policy di divulgazione responsabile

Responsible Disclosure Policy
Francesco Iannuzzelli
Francesco Iannuzzelli (Coordinatore Tecnico Associazione PeaceLink)

PeaceLink è un'associazione di volontariato che gestisce servizi digitali — sito web, mailing list, archivi storici e piattaforme collaborative — al servizio della società civile. La sicurezza di questi sistemi è per noi una responsabilità concreta verso chi li usa.

Se hai scoperto una vulnerabilità di sicurezza nei nostri sistemi, ti invitiamo a segnalarcela in modo responsabile seguendo le indicazioni di questa pagina.

Come segnalare una vulnerabilità

Invia una descrizione dettagliata della vulnerabilità all'indirizzo: security@peacelink.it

Per comunicazioni riservate è possibile usare la nostra chiave pubblica

La segnalazione dovrebbe includere, ove possibile:

  • Una descrizione della vulnerabilità e del suo potenziale impatto
  • I passaggi necessari a riprodurre il problema (proof of concept)
  • I sistemi o URL interessati
  • Eventuali screenshot o log pertinenti

Cosa puoi aspettarti da noi

  • Conferma di ricezione entro 5 giorni lavorativi
  • Valutazione iniziale entro 15 giorni lavorativi
  • Aggiornamenti sul progresso se la risoluzione richiede più tempo
  • Notifica di avvenuta correzione prima della divulgazione pubblica
  • Riconoscimento pubblico, se lo desideri, dopo la risoluzione

Non offriamo compensi economici (bug bounty), ma siamo grati a chi contribuisce alla sicurezza dei nostri sistemi e siamo lieti di riconoscerne il contributo pubblicamente.

Clausola di buona fede (Safe Harbor)

PeaceLink si impegna a non intraprendere azioni legali nei confronti di chi segnala vulnerabilità in buona fede, a condizione che:

  • La ricerca sia svolta senza accedere, modificare o cancellare dati altrui
  • Non vengano condotte azioni disruptive (DoS, spam, defacement)
  • La vulnerabilità non venga divulgata pubblicamente prima che sia stata risolta o che siano trascorsi 90 giorni dalla segnalazione
  • Non vengano sfruttate le vulnerabilità scoperte per scopi diversi dalla segnalazione

Sistemi in ambito (scope)

  • peacelink.it e tutti i sottodomini
  • Mailing list gestite da PeaceLink
  • Piattaforme collaborative ospitate dall'associazione

Sono esclusi dall'ambito i servizi di terze parti utilizzati da PeaceLink (provider di hosting, servizi email esterni, ecc.).

Fuori ambito

Non costituiscono vulnerabilità oggetto di questa politica:

  • Attacchi di ingegneria sociale o phishing
  • Risultati di scanner automatici non verificati manualmente
  • Problemi relativi a software di terze parti non direttamente controllati da noi
  • Assenza di best practice non sfruttabili (es. header HTTP mancanti senza impatto concreto)

Divulgazione coordinata

Chiediamo di non divulgare pubblicamente i dettagli della vulnerabilità prima che il problema sia stato risolto, o comunque non prima di 90 giorni dalla segnalazione. Collaboreremo con te per concordare tempi e modalità di eventuale divulgazione pubblica.

security.txt

Questa policy è referenziata nel file /.well-known/security.txt del nostro sito, in conformità con RFC 9116.

 
Parole chiave: sicurezza

Articoli correlati

  • Uruguay: l'ossessione per la sicurezza contagia il Frente Amplio
    Latina
    Anche un terzo dell’elettorato di centro-sinistra favorevole alle perquisizioni volute dalle destre

    Uruguay: l'ossessione per la sicurezza contagia il Frente Amplio

    Promosso sul tema un referendum per il 27 ottobre, in contemporanea con le presidenziali che sanciranno chi guiderà il paese dopo i cinque anni di governo neoliberista di Lacalle Pou.
    23 settembre 2024 - David Lifodi
  • Cile: sicurezza all'insegna del bukelismo
    Latina
    La svolta securitaria in tema di sicurezza potrebbe ripercuotersi anche sui movimenti sociali

    Cile: sicurezza all'insegna del bukelismo

    A seguito dell’ondata di omicidi avvenuti nel mese di luglio nella Regione metropolitana di Santiago, il presidente Gabriel Boric pensa alla costruzione di un carcere di massima sicurezza per fermare la violenza della criminalità organizzata sul modello del suo omologo salvadoregno.
    8 settembre 2024 - David Lifodi
  • Gli Usa militarizzano l'Ecuador
    Latina
    Il Sofa – Status of Forces Agreement è un accordo militare capestro

    Gli Usa militarizzano l'Ecuador

    Approvato da Guillermo Lasso e poi ratificato dall’attuale presidente Daniel Noboa, l'accordo permetterà agli Stati Uniti di gestire la sicurezza sul territorio ecuadoriano trasformando il paese latinoamericano in una sorta di colonia
    10 giugno 2024 - David Lifodi
  • Importante riduzione degli omicidi, ma non dei femminicidi
    Latina
    Honduras

    Importante riduzione degli omicidi, ma non dei femminicidi

    Passi avanti nella lotta alla criminalità e alla corruzione. Aumentano i casi di violenza sulle donne
    18 aprile 2023 - Giorgio Trucchi

PeaceLink

PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 3.4.1 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)