Policy di Sicurezza
Linee guida per segnalare vulnerabilità o problemi di sicurezza relativi a KeyCrypta e al sito ufficiale.
1. Contatti ufficiali
Per segnalare una vulnerabilità, un comportamento anomalo o un problema di sicurezza, usare il contatto ufficiale:
| Segnalazioni di sicurezza | info@keycrypta.com |
|---|---|
| Questioni privacy o dati personali | privacy@keycrypta.com |
Nota: al momento non è indicato un indirizzo separato dedicato esclusivamente alla sicurezza. Le segnalazioni tecniche devono quindi passare da info@keycrypta.com, che è il contatto ufficiale usato dal sito.
2. Perimetro delle segnalazioni
Rientrano nel perimetro di questa policy le segnalazioni che riguardano:
- il software KeyCrypta per Windows 10/11;
- il sito ufficiale
keycrypta.come le sue pagine pubbliche; - i formati e i flussi collegati alla cassaforte e ai backup, inclusi
.kc.local,.kc.cloud,.kc.attachments,.kc.sharee.kc.backup; - le procedure di licenza, attivazione, importazione, esportazione, recupero e audit, quando descritte nella documentazione ufficiale;
- eventuali errori documentali che possano indurre gli utenti a usare il prodotto in modo non sicuro.
Se non è chiaro se un problema rientri nel perimetro, è preferibile segnalarlo comunque in modo sintetico e non distruttivo.
3. Come inviare una segnalazione utile
Una segnalazione efficace dovrebbe includere, se disponibili:
- descrizione chiara del problema;
- versione o pagina interessata;
- passaggi minimi per riprodurre il comportamento;
- impatto stimato sulla riservatezza, integrità o disponibilità dei dati;
- eventuali schermate, log o proof-of-concept non distruttive;
- nome o alias da usare in caso di ringraziamento pubblico, se desiderato.
Se la segnalazione contiene dettagli particolarmente sensibili, indicarlo nel primo messaggio e richiedere un canale di invio più protetto prima di trasmettere materiale completo.
4. Divulgazione responsabile
Si chiede di concedere un tempo ragionevole per analizzare e correggere il problema prima di divulgarlo pubblicamente. KeyCrypta si impegna a valutare le segnalazioni ricevute in buona fede e a dare una prima risposta appena possibile, compatibilmente con la complessità del caso.
La pubblicazione coordinata dei dettagli tecnici deve essere concordata caso per caso, soprattutto quando la vulnerabilità può esporre dati, licenze o utenti finali.
5. Comportamenti non autorizzati
Non sono autorizzate attività che possano danneggiare il servizio, altri utenti o sistemi di terze parti. In particolare:
- attacchi DoS/DDoS, flooding, stress test non concordati o scansioni invasive;
- phishing, social engineering, impersonificazione o contatto non richiesto verso clienti e utenti;
- accesso, modifica, cancellazione o esfiltrazione di dati non propri;
- tentativi di aggirare sistemi di pagamento, licenza o protezioni con finalità non dimostrative;
- pubblicazione di exploit funzionanti prima di una ragionevole possibilità di correzione.
6. Ricompense e riconoscimenti
Al momento KeyCrypta non dichiara un programma bug bounty con ricompense economiche. Le segnalazioni verificate e inviate in modo responsabile possono essere riconosciute pubblicamente, se il segnalante lo desidera e se la pubblicazione non aumenta il rischio per gli utenti.
7. Privacy nelle segnalazioni
I dati personali eventualmente contenuti nelle comunicazioni vengono trattati solo per gestire la segnalazione, rispondere al mittente e valutare il problema indicato. Per richieste relative ai dati personali si usa il canale privacy@keycrypta.com, come indicato nell'informativa privacy.
8. Buona fede
Le ricerche svolte in buona fede, nel rispetto di questa policy e senza danno per utenti o sistemi, sono considerate un contributo positivo alla sicurezza del prodotto. Questa policy non autorizza test distruttivi, accessi non consentiti o violazioni di legge.