Responsible Disclosure Policy

FENDI considera i propri sistemi ed in particolare i dati personali come asset fondamentali per l’azienda, la cui sicurezza e riservatezza costituiscono un fattore essenziale per la fiducia dei propri clienti.


Nonostante la forte attenzione dedicata alla sicurezza, è possibile che alcune vulnerabilità non vengano rilevate durante i rilasci al pubblico oppure ne emergano delle nuove.


Qualora abbiate scoperto una vulnerabilità inerente ai domini FENDI e vogliate condividerla con noi, vi chiediamo, in uno spirito di divulgazione responsabile, di inviarci una segnalazione relativa a tale vulnerabilità seguendo questa policy di “Responsible Disclosure”.


In particolare:


  • la segnalazione dovrà essere effettuata in forma non anonima utilizzando esclusivamente le informazioni riportate al seguente link e riportare le principali informazioni utili a permetterci di identificare e riprodurre la vulnerabilità che si intende condividere;
  • mantenere strettamente riservate e segrete le vulnerabilità scoperte, impegnandosi a non rivelarle o renderle disponibili a terzi fino alla comunicazione da parte di FENDI della avvenuta applicazione delle opportune contromisure, e comunque previa condivisione dei contenuti che si ha intenzione di divulgare, a titolo di tutela reciproca per evitare la diffusione involontaria di informazioni aziendali non collegate alla vulnerabilità e che devono rimanere riservate;
  • nel caso in cui fosse una persona giuridica (pubblica o privata), un ente, un consorzio o altra forma associativa, chi invia la segnalazione si impegna a limitare l'accesso alle informazioni sulle vulnerabilità rilevate ai soli propri dipendenti e nella misura strettamente necessaria per la propria attività, provvedendo comunque a porre in essere tutte le misure idonee ed adeguate ad assicurare la riservatezza ed i suddetti limiti d’accesso e d’uso delle informazioni sulle vulnerabilità scoperte.
  • collaborare con il team Security di FENDI e i gruppi di lavoro coinvolti;
  • astenersi da qualsiasi attività che potrebbe comportare una violazione, perdita e/o distruzione dei dati relativi ai sistemi e servizi coinvolti nella segnalazione e , degrado o interruzione dei servizi. In tal senso è fatto espresso divieto di:
    • Accedere ai dati, modificarli, scaricarli;
    •  Mettere in atto azioni assimilabili ad attacchi di tipo “Denial of Service” in grado di danneggiare il funzionamento di qualsiasi bene o risorsa FENDI;
    • Caricare, linkare, eseguire o inviare codice malevolo sfruttando i sistemi di FENDI;
    • Effettuare test il cui effetto sia l’invio di messaggi indesiderati, spam o altre forme di messaggi non autorizzati.

Una volta ricevuta la segnalazione, FENDI farà quanto possibile per:


  •  inviare un riscontro entro 20 giorni, con cui si forniscono indicazioni sulla pertinenza della segnalazione rispetto alla policy di Responsible Disclosure e sull'esito dell'analisi preliminare effettuata da FENDI;
  • mantenere confidenziale la segnalazione, fatto salvo l’adempimento di obblighi legali e/o ordini di Autorità.

FENDI considera il periodo di riservatezza dell'informazione fino alla chiusura della vulnerabilità e alla conseguente informativa a chi ha inviato la segnalazione.


Sono escluse dalla presente policy di Responsible Disclosure, e verranno di conseguenza rifiutate senza fornire risconti in merito, le segnalazioni relative alle seguenti casistiche:


  • esiti di tool automatici di vulnerability assessment/penetration testing/Information Gathering
  • esiti di attacchi di Denial of Service (DoS, DDoS), per i quali FENDI si riserva di intraprendere i dovuti provvedimenti;
  • risultati di assessment condotti tramite siti specializzati;
  • bug relativi la User Interface o la User Experience che non costituiscono una falla di sicurezza (es. errori di battitura, nel formato della pagina);
  • rilevazioni su domini non direttamente gestiti da FENDI o comunque non facenti parte del perimetro sopra esplicitato a cui la policy si applica;
  • tutte le segnalazioni non inerenti la sicurezza e la policy di Responsible Disclosure.

 


Fendi tratterà i dati personali di contatto del segnalante (nome, e-mail e facoltativamente un numero di telefono) al solo fine di gestire il follow-up alla segnalazione e intraprendere le necessarie azioni in relazione alla vulnerabilità segnalata. I dati personali del segnalante potranno essere comunicati alle Autorità competenti e a società terze che ci forniscono servizi di indagine in relazione alla vulnerabilità segnalata.

 

 

Fendi ringrazia per eventuali segnalazioni, ma chiarisce che non riconosce ricompense (in denaro o di altra natura) per le segnalazioni e in relazione a vulnerabilità


Fendi si riserva la facoltà di non gestire segnalazioni che non rispettano i requisiti previsti nella presente policy di Responsible Disclosure.


FENDI si riserva la possibilità di aggiornare in qualunque momento la policy di Responsible Disclosure sopra descritta.