Politica di divulgazione responsabile di Foxit Software

Foxit considera la sicurezza un aspetto essenziale e mira a offrire le soluzioni e i servizi più sicuri del mercato per proteggere i dati e i sistemi dei clienti. In Foxit, indaghiamo su tutte le segnalazioni di vulnerabilità ricevute e implementiamo la migliore linea d'azione per proteggere i nostri clienti. Foxit ritiene che lavorare con ricercatori esperti nel campo della sicurezza possa permettere di identificare i punti deboli in qualsiasi tecnologia.

Se sei un ricercatore nel campo della sicurezza e hai scoperto una vulnerabilità nei nostri prodotti e servizi, apprezziamo il tuo aiuto nel rivelarcelo in maniera responsabile.

Se identifichi una vulnerabilità verificata in conformità con la Politica di divulgazione responsabile, il team di sicurezza di Foxit si impegna a:

  • Fornire una immediata ricevuta del report di vulnerabilità (entro 48 ore lavorative dall'invio)
  • Lavorare a stretto contatto con te per comprendere la natura del problema e stabilire insieme le tempistiche per la correzione/divulgazione
  • Avvisare quando la vulnerabilità è stata risolta, in modo che possa essere nuovamente testata e confermata come risolta.
  • Pubblicare una descrizione in un bollettino sulla sicurezza al rilascio della correzione e riconoscere il tuo contributo.
  • Pubblicare un avviso di sicurezza, se necessario

Segnalazione di una potenziale vulnerabilità di sicurezza:

  • Inviare un'e-mail a [email protected] per richiedere la chiave GPG
  • Condividere in privato con Foxit i dettagli della vulnerabilità sospetta inviando un'e-mail crittografata utilizzando la chiave GPG a [email protected]
  • Fornire i dettagli completi della vulnerabilità sospetta affinché il team di sicurezza di Foxit possa convalidare e riprodurre il problema

Foxit non permette alcuni tipi di ricerca di sicurezza:

Per incoraggiare una divulgazione responsabile, chiediamo a tutti i ricercatori di rispettare le seguenti linee guida:

  • Fornirci una quantità di tempo ragionevole per risolvere il problema prima di divulgarlo al pubblico o a terzi. È nostro obiettivo risolvere i problemi critici il più rapidamente possibile.
  • Fare uno sforzo in buona fede per evitare di violare la privacy, distruggere dati oppure interrompere o degradare il servizio di Foxit Software.

Durante la ricerca, è espressamente vietata la seguente condotta:

  • Eseguire azioni che possano influire negativamente su Foxit e relativi utenti (ad esempio spam, attacchi di forza bruta, DoS, ecc.)
  • Accedere, o tentare di accedere, a dati o informazioni che non ti appartengono
  • Cancellare o alterare, oppure tentare di cancellare o alterare, dati o informazioni che non ti appartengono
  • Condurre qualsiasi tipo di attacco fisico o elettronico mirato a personale, proprietà o data center di Foxit
  • Condurre attività di social engineering diretti a servizio di assistenza clienti, dipendenti o fornitori di Foxit
  • Violare qualsiasi legge o rompere un accordo per scoprire vulnerabilità

Il Chief Security Officer e il General Counsel di Foxit riesaminano ogni anno la nostra politica sulla divulgazione delle vulnerabilità da un punto di vista legale e operativo.

Foxit desidera ringraziare ogni singolo ricercatore che invia un report di vulnerabilità, aiutandoci in tal modo a migliorare la sicurezza generale dei prodotti e dei servizi di Foxit.