SharkNinja e le sue affiliate (“SharkNinja”) si impegnano a proteggere la riservatezza delle informazioni personali dei consumatori e dei dipendenti, la disponibilità dei propri siti web e sistemi informativi e la sicurezza dei nostri dispositivi connessi a Internet. Integriamo la sicurezza nelle nostre piattaforme e nei prodotti connessi e rispettiamo i requisiti di sicurezza IoT applicabili. La presente politica ha lo scopo di fornire ai ricercatori di sicurezza linee guida chiare per lo svolgimento di attività di individuazione delle vulnerabilità e di comunicare le nostre preferenze su come segnalarci le vulnerabilità individuate per la revisione. Vi invitiamo a contattarci per segnalare vulnerabilità nei nostri siti web, sistemi e prodotti
Se vi impegnate in buona fede a rispettare questa politica durante la vostra ricerca sulla sicurezza, considereremo la vostra ricerca autorizzata esclusivamente nella misura in cui rispetti tutte le condizioni di questa politica e rientri nell'ambito di applicazione definito di seguito, e collaboreremo con voi per comprendere e risolvere rapidamente i problemi segnalati. SharkNinja non raccomanderà né intraprenderà azioni legali relative alla vostra ricerca, a condizione che non abbiate superato l'ambito di applicazione della presente politica, agito in malafede o violato alcuna legge applicabile
Si prega di notare che SharkNinja non gestisce un programma di bug bounty e non offre ricompense o compensi in cambio della segnalazione di potenziali problemi di sicurezza o vulnerabilità.
Linee guida
SharkNinja suggerisce le seguenti linee guida per i ricercatori che intendono segnalare una vulnerabilità o condurre ricerche legittime. Ai sensi della presente politica, per “ricerca” si intendono le attività in cui l’utente:
- Ci avvisi il prima possibile dopo aver scoperto un problema di sicurezza reale o potenziale
- Fate tutto il possibile per evitare violazioni della privacy, il deterioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione o la manipolazione dei dati
- Utilizzate gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità
- Non utilizzate un exploit per compromettere o sottrarre dati, stabilire un accesso non autorizzato persistente o utilizzare l'exploit per passare ad altri sistemi
- Ci concedi un lasso di tempo ragionevole per risolvere il problema prima di renderlo pubblico
Una volta accertata l'esistenza di una vulnerabilità o individuati dati sensibili (comprese informazioni di identificazione personale, informazioni finanziarie, informazioni proprietarie o segreti commerciali di qualsiasi parte), devi interrompere il test, avvisarci immediatamente e non divulgare tali dati a nessun altro. Devi cancellare o distruggere definitivamente tali dati sensibili in tuo possesso non appena possibile dopo aver informato SharkNinja e certificare tale distruzione su richiesta. Accetti di mantenere riservati tutti i dettagli di qualsiasi vulnerabilità scoperta fino a quando SharkNinja non avrà confermato che la vulnerabilità è stata risolta o avrà autorizzato la divulgazione pubblica per iscritto
Segnalazione di una vulnerabilità
Si prega di inviare un'e-mail a [email protected] per segnalare una vulnerabilità. Per aiutarci a valutare e dare priorità alle segnalazioni, raccomandiamo che la segnalazione includa:
- Quando è stata identificata la vulnerabilità o il problema
- Descrivere il sistema o il prodotto per il quale è stata scoperta la vulnerabilità
- Descrivere i passaggi necessari per riprodurre la vulnerabilità
- Eventuali suggerimenti o idee di risoluzione per affrontare la vulnerabilità
SharkNinja si impegna a confermare la ricezione di tutte le segnalazioni entro 3 giorni lavorativi e apprezza la partecipazione a questo programma.
Per le segnalazioni di vulnerabilità relative a prodotti connessi (o “IoT”), SharkNinja fornirà aggiornamenti regolari fino alla risoluzione della vulnerabilità segnalata.
Ambito
L'ambito di questo programma include tutti i siti web SharkNinja di proprietà o concessi in licenza dall'azienda; tutti i sistemi aziendali connessi a Internet; e i prodotti connessi a Internet e le relative applicazioni mobili. Il programma non include:
- Campagne di ingegneria sociale o di phishing dirette ai dipendenti di SharkNinja
- Attacchi Denial of Service (DoS) contro i siti web o le applicazioni aziendali di SharkNinja
- Qualsiasi altra attività non autorizzata volta a scopi malevoli
Si prega di contattare SharkNinja all'indirizzo [email protected] per domande su questo programma o per segnalare una vulnerabilità.