Politica di divulgazione delle vulnerabilità

Commend International richiede che tutti i ricercatori:

• Rispettino la privacy e la sicurezza degli altri
• Rispettino l'ambito chiaramente definito 
• Si assicurino che ogni test sia legale ed autorizzato
• Si impegnino contattare il team di sicurezza di Commend International
• Forniscano informazioni sufficienti per permetterci di riprodurre e verificare la vulnerabilità rilevata

Commend International fornisce a tutti i ricercatori:

• Indirizzo di contatto per segnalare le vulnerabilità
• Risposte alle segnalazioni in tempi ragionevoli
• Ambito chiaramente definito per il nostro portafoglio di prodotti
• Garanzia di non perseguire legalmente la ricerca
• Comunicazione aperta e rispettosa con tutti i ricercatori
• Pubblicazione degli avvisi di sicurezza Commend (CSA) e i log delle modifiche
• Il riconoscimento all'interno del Commend Security Advisory

Commend International apprezza tutti gli sforzi dei ricercatori di sicurezza che ci supportano con informazioni dettagliate sulle vulnerabilità di sicurezza dei nostri prodotti e servizi. Per noi è essenziale avere sufficienti dettagli nel report iniziale in modo da poter comprendere l'intero impatto della vulnerabilità segnalata. Il nostro team di sicurezza è lieto di verificare e riprodurre la vulnerabilità segnalata in tempi ragionevoli. Quindi, risponderemo entro 15 giorni.

Il report iniziale dovrebbe includere:

• Sufficienti dettagli della vulnerabilità per permetterne la comprensione e la riproduzione
• Impatto previsto della vulnerabilità
• Codice utilizzato nel test, script, screenshot (se disponibile)
• Qualsiasi ulteriore info che può essere pertinente (se disponibile)
• Raccomandazione su come il problema potrebbe essere mitigato o risolto (se disponibile)

Commend International prende sul serio la sicurezza dei propri sistemi. Un processo di divulgazione coordinato è necessario per proteggere i nostri clienti da qualsiasi minaccia. Un rapporto di vulnerabilità è il punto di partenza. Questa azione crea internamente un ticket di sicurezza che sarà esaminato dal nostro team di sicurezza. La revisione iniziale si traduce in una prima bozza di analisi dell'impatto che si conclude con un livello di gravità secondo il Common Vulnerability Scoring System (CVSS). I membri del nostro Security Board definiranno i passi successivi per ogni vulnerabilità segnalata. Dopodiché contatteremo nuovamente il ricercatore di sicurezza e lo informeremo sul piano di rimedio, le possibili contromisure o le soluzioni alternative. In caso di vulnerabilità più complesse verrà intavoltata una discussione più approfondita tra il nostro team di sicurezza, gli sviluppatori coinvolti e il ricercatore di sicurezza che ha effettuato la segnalazione. Apprezziamo una comunicazione aperta e rispettosa così come ogni possibile consiglio su come il problema potrebbe essere mitigato o risolto. Il nostro obiettivo è quello di dare priorità alla correzione di una vulnerabilità critica in un tempo ragionevole, con una patch di sicurezza o, se questo non è fattibile, entro il rilascio della prima release ufficiale. Come ultimo passo  verrà comunicata la tempistica per la pubblicazione di un Commend Security Advisory (CSA). Cercheremo quindi di risolvere una vulnerabilità e di pubblicarne le informazioni entro 90 giorni.

Incoraggiamo tutti i clienti e i ricercatori di sicurezza a registrarsi al nostro Commend Security Advisory Program:

https://clibrary-online.commend.com/en/cyber-security/security-advisories.html

Questo è il contenuto di un Commend Security Advisory:

• Riepilogo della notifica di vulnerabilità
• Prodotti interessati
• Aggiornamenti software
• Soluzioni alternative o mitigazione
• Annunci pubblici
• Riconoscimento
• Fonti
• Contatto e divulgazione coordinata
• Registro delle modifiche

• Symphony Cloud Services 
• Servers Symphony VirtuoSIS
• Dispositivi Symphony
• Commend Studio