Segnala una vulnerabilità
Se credi di aver trovato un problema di sicurezza in Pikly, contattaci prima di condividerlo pubblicamente.
Cosa includere
Più chiaro è il tuo report, più velocemente possiamo validare e correggere il problema.
- ✓Una descrizione chiara del problema e del potenziale impatto.
- ✓Istruzioni passo passo per riprodurre il problema.
- ✓La pagina interessata, la versione dell'app, il sistema operativo, il browser, il dispositivo o la funzione.
- ✓Screenshot, registrazioni schermo, log o prove di concetto se utili.
- ✓Eventuali condizioni necessarie per riprodurre il problema, come autorizzazioni, impostazioni del dispositivo o stato dell'abbonamento.
Si prega di non
I test devono essere rispettosi, limitati ed evitare di danneggiare Pikly, gli utenti o l'infrastruttura.
- ×Accedere, modificare, eliminare, copiare o esporre i dati di un altro utente.
- ×Eseguire test di denial-of-service, stress, spam, limiti di frequenza o esaurimento delle risorse.
- ×Utilizzare ingegneria sociale, phishing, attacchi fisici o tentativi contro dipendenti, utenti o fornitori di Pikly.
- ×Installare malware, mantenere accessi persistenti, aggirare i sistemi di pagamento o interrompere gli abbonamenti.
- ×Divulgare pubblicamente il problema prima che lo abbiamo esaminato e abbiamo avuto una ragionevole opportunità di risolverlo.
Ambito dei test
Concentrati su superfici di proprietà di Pikly e su funzionalità che sei autorizzato a usare.
Di solito nell'ambito
Pagine pubbliche del sito Pikly, funzioni dell'app mobile Pikly, flusso di scansione codici a barre, funzioni di inventario locale, comportamento dell'esportazione CSV e logica di accesso agli abbonamenti.
Di solito fuori dall'ambito
Piattaforme di terzi come Apple, Google, fornitori di pagamenti, fornitori di hosting, fornitori e-mail e problemi che richiedono test dannosi o ad alto volume.
Il nostro processo di revisione
Cerchiamo di gestire le segnalazioni con cura e proporzionalmente alla gravità e alla riproducibilità.
Ricezione
Esaminiamo la tua segnalazione e possiamo richiedere ulteriori dettagli se necessario.
Validazione
Cerchiamo di riprodurre il problema, valutare il rischio e dare priorità alla correzione.
Correzione
Lavoriamo a una correzione, mitigazione, modifica di configurazione o aggiornamento per gli utenti, ove opportuno.
Coordinamento
Ti chiediamo di coordinare con noi qualsiasi divulgazione, in modo da proteggere prima gli utenti.
Ricerca in buona fede
Valorizziamo la ricerca sulla sicurezza responsabile che segue queste linee guida.
Se agisci in buona fede, eviti violazioni della privacy, eviti interruzioni del servizio e ci offri un termine ragionevole per correggere il problema prima della divulgazione, non intraprenderemo intenzionalmente azioni legali contro di te per la ricerca in sé. Questo non autorizza attività illegali, accesso a sistemi di terzi, estorsioni, minacce, esfiltrazione di dati o azioni che danneggiano utenti o infrastrutture.
Attualmente Pikly non gestisce un programma di bug bounty a pagamento. L'invio di una segnalazione non garantisce compensi, credito o riconoscimento pubblico.
Contatto
Per report di sicurezza, usa [email protected]. Per domande sulla privacy, consulta l'Informativa sulla privacy o contattaci allo stesso indirizzo.
Oggetto email suggerito
Security Report for Pikly