INMAGINE Security Disclosure Policy

Prendiamo sul serio la sicurezza dei nostri sistemi e la sicurezza dei nostri utenti, collaboratori e clienti Ŕ di assoluta importanza. La divulgazione delle vulnerabilitÓ in termini di sicurezza ci aiuta a garantire la sicurezza e la privacy dei nostri utenti.

Linee guida

Se visitate il nostro sito web e notate problemi di sicurezza, vi chiediamo cortesemente di:
  • Fare ogni sforzo per evitare violazioni della privacy, danneggiamento dell'esperienza di utenza, interruzione dei sistemi di produzione e distruzione dei dati durante i test di sicurezza;
  • Utilizzare i canali di comunicazione identificati per segnalarci le informazioni sulle vulnerabilitÓ riscontrate; e
  • Mantenere riservate le informazioni su eventuali vulnerabilitÓ scoperte tra voi e INMAGINE fino a quando non avremo avuto [90] giorni per risolvere il problema.

Riservatezza

Qualsiasi informazione che avete trovato o raccolto su INMAGINE o qualsiasi utente di INMAGINE attraverso i bug di sicurezza deve essere tenuta riservata e utilizzata solo in relazione a noi. L'accesso alle informazioni private di altri utenti e l'esecuzione di azioni che possono influenzare negativamente gli utenti di INMAGINE sono strettamente proibite. L'utente non pu˛ utilizzare, divulgare o distribuire tali informazioni riservate, incluse, ma non limitate a, qualsiasi informazione riguardante la sua sottomissione di dati e le informazioni ottenute durante la ricerca sui siti INMAGINE, senza il preventivo consenso scritto di INMAGINE.

Nell'interesse della sicurezza dei nostri utenti e del nostro personale, ti chiediamo di astenerti da:
  • Spamming.
  • Ingegneria sociale (incluso il phishing) del personale di INMAGINE o dei contraenti o dei clienti.
  • Qualsiasi tentativo fisico contro lea proprietÓ o i centri dati di INMAGINE.
  • Criptomining.
  • Accesso, o tentativo di accesso, a dati o informazioni che non ti appartengono.
  • Distruggere o corrompere, o tentare di distruggere o corrompere, dati o informazioni che non ti appartengono.
  • Causare, o tentare di causare, una condizione di Negazione del Servizio (DoS/DDoS).

Se segui queste linee guida e ci informi immediatamente, ci impegniamo a:
  • Non avviare azioni legali contro i security researches che cercano di trovare vulnerabilitÓ all'interno dei nostri sistemi che aderiscono a questa policy.

Come segnalare una vulnerabilitÓ di sicurezza?

Crediamo che i bug siano inevitabilmente presenti in tutta la tecnologia e che il pubblico svolga un ruolo cruciale nella loro identificazione. Se ritieni di aver trovato una vulnerabilitÓ di sicurezza in uno dei nostri prodotti o piattaforme, segnalacela immediatamente via e-mail all'indirizzo patrick@123rf.com. Si prega di includere i seguenti dettagli nella relazione:
  • Descrizione della localizzazione e del potenziale impatto della vulnerabilitÓ;
  • Una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilitÓ (script POC, screenshot e screen capture compressi sono per noi tutti utili); e
  • Il tuo nome/username

AmmissibilitÓ

Accettiamo report basati su un livello di gravitÓ non inferiore a 6 secondo il CVSS 3.0. Il tipo di gravitÓ pu˛ essere modificato per riflettere l'impatto della vulnerabilitÓ segnalata sui nostri domini.

Per saperne di pi¨ sul punteggio CVSS 3.0: https://www.first.org/cvss/calculator/3.0


Campo di applicazione

*.123rf.com

*.pixlr.com

*.designs.ai


Fuori dal campo di applicazione

Quando si segnalano le vulnerabilitÓ, si deve considerare lo scenario di attacco / sfruttamento e l'impatto del bug sulla sicurezza. Le seguenti questioni sono considerate fuori dall'ambito di questo programma e non accetteremo nessuno dei seguenti tipi di attacchi:
  • Attacchi di negazione del servizio
  • Spam, ingegneria sociale o tecniche di email phishing via email (ad es. phishing, vishing, smishing)
  • Falsicazione di e-mail
  • Qualsiasi vulnerabilitÓ di sicurezza sul lato client (ad es. browser, plugin)
  • Divulgazione non consentita della versione del software
  • Download di un reflected file
  • Eventuali problemi di accesso fisico
  • Pagine accessibili al pubblico
  • Qualsiasi debolezza o divulgazione di informazioni che non porti a una vulnerabilitÓ diretta
  • Elenco di email o account
  • Esecuzione dei comandi CSV e punti deboli del CSP
  • Eventuali vulnerabilitÓ nelle applicazioni o nei siti web di terzi non rientrano generalmente nell'ambito del nostro programma.

Modifiche alle condizioni

Inmagine si riserva il diritto di modificare o cancellare questo Programma Bug Bounty e le sue policy in qualsiasi momento, senza preavviso.

Di conseguenza, Inmagine pu˛ modificare i presenti termini e/o le sue policy in qualsiasi momento pubblicando una versione aggiornata sul proprio sito web. Accetta i termini modificati se vuoi continuare adaderire al Programma Bug Bounty dopo le modifiche apportate.