Swiss Life accoglie con piacere il riscontro di ricercatori e ricercatrici in materia di sicurezza e del vasto pubblico, perché contribuisca al miglioramento della nostra sicurezza. Se ritiene di aver individuato una vulnerabilità, un problema di privacy, dati divulgati o altri problemi legati alla sicurezza in uno dei nostri sistemi, saremo lieti di ricevere una sua comunicazione in merito. Si prega di notificare eventuali casi tramite il formulario sottostante. La presente direttiva descrive i passaggi per segnalarci eventuali vulnerabilità, cosa ci aspettiamo da lei e cosa lei può aspettarsi da noi.

Campo d’applicazione

La presente direttiva si applica a tutti gli asset digitali posseduti, gestiti o curati da Swiss Life. Si concentra in particolare sui portali web di Swiss Life in Svizzera, segnatamente i seguenti domini: swisslife.ch, swisslife.com e swisslife-select.ch. Sono benaccette anche altre indicazioni.

Il nostro impegno

Se collabora con noi ai sensi di questa direttiva, può aspettarsi quanto segue.

  • Reagiremo tempestivamente alla sua notifica.
  • Adotteremo il più rapidamente possibile misure per colmare la lacuna nella sicurezza.
  • Faremo del nostro meglio per tenerla informata sui progressi.
  • Tratteremo il suo rapporto e i suoi dati personali con la massima discrezione.
  • Non limiteremo il suo  accesso ai nostri portali web.
  • Ci atterremo alla nostra Vulnerability Disclosure Policy.

Le nostre aspettative

Se, con buone intenzioni, desidera aiutarci a mettere in evidenza vulnerabilità, la preghiamo di osservare le seguenti richieste.

  • Si attenga alle regole, incluso il rispetto della presente direttiva e di tutti gli altri accordi rilevanti. In caso di conflitto tra la presente direttiva e altre condizioni applicabili, prevalgono le condizioni della presente direttiva.
  • Si impegni a non violare la sfera privata altrui (p.es. social engineering, phishing, spam).
  • Non interferisca con i nostri sistemi e/o compromettere l’esperienza utente (p.es. DDoS).
  • Non è consentito spiare, modificare, scaricare, eliminare o condividere dati.
  • Utilizzi solo i canali ufficiali per discutere riguardo a informazioni sulle vulnerabilità con noi.
  • Ci dia un periodo di tempo ragionevole (almeno 90 giorni dalla prima notifica) per risolvere il problema prima di renderlo pubblico.
  • Effettui test solo su sistemi rientranti nel campo d’applicazione (cfr. sopra) e rispetti sistemi e attività che si situano al di fuori di tale campo d’applicazione.
  • Cessi immediatamente il test e presenti un rapporto se si imbatte in dati personali ai sensi della Legge federale sulla protezione dei dati (LPD).
  • Utilizzi esclusivamente dati d’accesso che le appartengono oppure che detiene con l’esplicita autorizzazione del titolare del conto.

Contenuto della notifica

Il rapporto che ci invia dovrebbe contenere quanto segue.

  • Tipo di vulnerabilità
  • Descrizione della vulnerabilità (incl. browser utilizzato ed ev. impostazioni del browser)
  • Esempio (request univoca o PoC code)
  • Informazioni sufficienti affinché il problema sia riproducibile e analizzabile
  • Preferibilmente guida passo passo
  • Gli screenshot sono benaccetti
  • L’illustrazione di una possibile soluzione è benaccetta
  • Un indirizzo da contattare in caso di domande è benaccetto

Esempi di vulnerabilità da notificare:

  • Cross scripting (XSS) vulnerabilities
  • SQL injection vulnerabilities
  • Encryption vulnerabilities
  • Cross Site Request Forgery (CSRF)
  • Insecure Direct Object Reference
  • Remote Code Execution (RCE) – Injection Flaws
  • Possibilità di esfiltrazione di dati / informazioni
  • Porte «sul retro» che possono essere sfruttate attivamente (backdoor)
  • Possibilità di utilizzo non autorizzato del sistema

Non vanno notificati:

  • Rapporti di tool automatizzati o scansioni senza documentazione esplicativa
  • Segnalazioni dell’assenza di una funzione di sicurezza che non può essere sfruttata
  • Rivelazione di informazioni non sensibili

Vulnerability Disclosure Policy

ricerca effettuata nell’ambito della presente direttiva:

  • autorizzata ai sensi delle leggi anti-hacking applicabili; non intenteremo né sosterremo alcuna azione legale nei suoi confronti per violazione accidentale e in buona fede di tali leggi;
  • autorizzata ai sensi delle leggi antielusione pertinenti; non avanzeremo alcuna rivendicazione nei suoi confronti per elusione dei controlli tecnologici;
  • fatta salva dalle limitazioni esposte nelle nostre condizioni d’uso che potrebbero compromettere lo svolgimento di ricerche sulla sicurezza; rinunciamo a tali limitazioni in misura limitata;
  • legittima, utile per la sicurezza generale di internet ed effettuata in buona fede.

Come sempre, ci si aspetta che lei rispetti tutte le leggi applicabili. Qualora una terza parte intenti un’azione legale nei suoi confronti e lei abbia rispettato la presente direttiva, adotteremo misure per rendere noto che le sue azioni sono state condotte in conformità con la presente direttiva. Se in qualsiasi momento ha dei dubbi o delle insicurezze sulla conformità della sua ricerca in materia di sicurezza con la presente direttiva, invii un rapporto tramite uno dei nostri canali ufficiali prima di procedere ulteriormente. Si noti che la presente Vulnerability Disclosure Policy si applica solo alle rivendicazioni legali sotto il controllo dell’organizzazione aderente alla presente direttiva e che la direttiva non vincola terze parti indipendenti.

Formulario di contatto

Titolo
La preghiamo di fornirci informazioni più dettagliate possibile.
Nota relativa alla protezione dei dati:
Consenso: *
Informazione sulla presa di contatto:
Consenso: *

Purtroppo è occorso un errore; riprovare più tardi.