Skip to main content

Ultimo aggiornamento: 2026-05-21

Sicurezza & Divulgazione di Vulnerabilità

Prendiamo sul serio la sicurezza dei dati dei nostri clienti. Se ritieni di aver scoperto una vulnerabilità di sicurezza in un servizio di ELLYTIC Technologies UG (haftungsbeschränkt), ti incoraggiamo a segnalarcela in conformità con la politica seguente. Ci impegniamo a collaborare in buona fede con i ricercatori e a riconoscere le segnalazioni valide.

Nell’ambito

Le seguenti proprietà ELLYTIC rientrano nell’ambito delle segnalazioni di sicurezza:

  • ellytic.com e tutti i sottodomini (*.ellytic.com)
  • app.ellytic.com (Ops Workbench)
  • Endpoint API sotto ellytic.com/api/* e app.ellytic.com/api/*
  • Flussi di autenticazione, inclusi OAuth, magic-link e TOTP MFA
  • Dashboard cliente e flussi degli ordini
  • Checkout del wizard, pagamento e flussi di caricamento documenti

Fuori ambito

I seguenti sono esplicitamente fuori ambito e le relative segnalazioni non saranno ammissibili al riconoscimento:

  • Attacchi denial-of-service (DoS / DDoS) e test volumetrici
  • Ingegneria sociale, phishing o attacchi fisici contro dipendenti, collaboratori o clienti
  • Risultati di scanner automatici senza proof-of-concept funzionante (es. header di sicurezza mancanti senza impatto sfruttabile)
  • Suggerimenti di best practice o hardening senza una vulnerabilità concreta (es. modifiche CSP, preferenze di cipher TLS)
  • Segnalazioni contro servizi di terze parti che non gestiamo (Stripe, IDnow, YouSign, Sanity, Vercel, Neon, Resend) — segnalale direttamente al fornitore
  • Problemi che richiedono accesso fisico al dispositivo sbloccato di una vittima
  • Self-XSS o vulnerabilità che richiedono modifiche di configurazione da parte della vittima per essere sfruttabili
  • Divulgazione di software obsoleto (CVE in una dipendenza) senza un percorso di exploit dimostrato nel nostro ambiente

Come segnalare

Invia una segnalazione dettagliata a security@ellytic.com. Includi informazioni sufficienti per consentirci di riprodurre e classificare rapidamente il problema. La crittografia PGP è supportata su richiesta.

Ti preghiamo di non divulgare pubblicamente il problema fino a quando non avremo confermato la sua risoluzione. Ci impegniamo a un riconoscimento pubblico (con il tuo consenso) una volta rilasciata la correzione.

  • URL, endpoint o componente interessato
  • Riproduzione passo-passo (comandi, payload, comportamento atteso vs. osservato)
  • Valutazione dell’impatto — quali dati o funzionalità sono a rischio?
  • I tuoi recapiti e come vorresti essere riconosciuto (nome reale, alias o anonimo)
  • Eventuali screenshot, video o log di richieste HTTP di supporto (oscurare i dati di terzi)

Safe Harbor

Non intraprenderemo azioni civili né coinvolgeremo le forze dell’ordine per ricerca in buona fede che rispetti questa politica. «In buona fede» significa:

  • Compi uno sforzo genuino per evitare violazioni della privacy, distruzione di dati e interruzione del servizio
  • Smetti di testare non appena hai accertato l’esistenza di una vulnerabilità e la segnali
  • Non accedi, modifichi o scarichi dati oltre il minimo necessario per dimostrare il problema
  • Prendi di mira solo i tuoi account di test — mai i dati di un altro cliente
  • Non sfrutti il problema a scopo di lucro e non lo condividi con terzi prima della divulgazione
  • Ci concedi una finestra ragionevole (vedi i tempi di risposta sotto) per rimediare prima di qualsiasi divulgazione pubblica

I nostri tempi di risposta

Puntiamo a rispondere alle segnalazioni di sicurezza entro questi obiettivi. I problemi critici hanno la precedenza sul lavoro pianificato.

  • Conferma iniziale: entro 2 giorni lavorativi
  • Triage e valutazione della gravità: entro 5 giorni lavorativi
  • Aggiornamenti di stato durante la risoluzione: almeno ogni 14 giorni
  • Obiettivo di risoluzione (gravità critica / alta): 30 giorni dalla conferma
  • Obiettivo di risoluzione (gravità media / bassa): 90 giorni dalla conferma
  • Divulgazione pubblica: coordinata con il segnalante, tipicamente dopo il rilascio di una correzione

Ricompense

ELLYTIC non gestisce attualmente un programma di bug-bounty retribuito. Riconosceremo pubblicamente le segnalazioni valide (con il tuo consenso) in questa pagina e nella nostra hall of fame. Man mano che cresciamo, prevediamo di introdurre ricompense monetarie per i risultati ad alto impatto — i segnalanti di rapporti qualificanti saranno invitati per primi.

Ringraziamenti

Ringraziamo tutti i ricercatori che ci hanno segnalato problemi in modo responsabile. I segnalanti sono elencati qui con il loro consenso. (Nessuna segnalazione pubblica ad oggi — sii il primo.)

Contatti

Tutta la corrispondenza relativa alla sicurezza deve essere inviata a security@ellytic.com.

  • E-mail: security@ellytic.com
  • Leggibile dalle macchine: /.well-known/security.txt (RFC 9116)
  • Lingue preferite: inglese, tedesco
  • Postale: ELLYTIC Technologies UG (haftungsbeschränkt), vedi Imprint per l’indirizzo completo
Torna alla Home