Sicurezza e fiducia
Divulgazione di vulnerabilità, contatto PGP e conformità al Cyber Resilience Act (CRA) dell'UE.
1. Segnalare una vulnerabilità
Hai trovato un problema di sicurezza? Accogliamo segnalazioni riservate. Per favore usa i canali sotto invece di canali pubblici.
Canali di contatto riservati
- E-mail:security@chorilo.com
- Chiave PGP:/.well-known/pgp-key.txt
- security.txt secondo RFC 9116:/.well-known/security.txt
2. Ambito
Nell'ambito
- chorilo.com e tutti i sottodomini di produzione
- API Backend Chorilo
- App mobile Chorilo (iOS, Android)
- Applicazione desktop Chorilo Files (macOS, Windows)
- Autenticazione, autorizzazione, controlli di accesso ai dati
Fuori ambito
- Report di scanner automatici senza proof of concept funzionante
- Header di sicurezza mancanti senza impatto dimostrato
- Phishing o ingegneria sociale del personale
- Servizi di terzi (Stripe, Sentry — segnalare direttamente)
- Self-XSS, attacchi al dispositivo del segnalatore
3. Safe Harbor
Se agisci in buona fede, non intraprenderemo azioni civili o penali, a condizione che tu:
- Eviti violazioni della privacy, distruzione dati e interruzioni del servizio.
- Interagisca solo con account propri o con autorizzazione esplicita.
- Non esfiltri più dati di quelli necessari a dimostrare il problema.
- Ci dia tempo ragionevole per risolvere prima della divulgazione pubblica.
- Non sfrutti la vulnerabilità oltre il minimo necessario.
4. Tempi di risposta
| Scadenza | Azione |
|---|---|
| 3 giorni lavorativi | Conferma di ricezione al segnalatore |
| 10 giorni lavorativi | Valutazione iniziale e classificazione di gravità |
| 24 h | Early warning a ENISA per vulnerabilità attivamente sfruttate |
| 72 h | Notifica di vulnerabilità con piano di mitigazione |
| 14 d | Rapporto finale con root cause e rimedio |
Per vulnerabilità attivamente sfruttate si applica la tempistica CRA (24h / 72h / 14d).
5. Chiave PGP
Per rapporti particolarmente sensibili può essere utilizzata la seguente chiave PGP.
Confronta l'impronta con una seconda fonte — per esempio keys.openpgp.org — prima del primo utilizzo.
6. Conformità CRA
Chorilo è conforme al Cyber Resilience Act dell'UE (Regolamento 2024/2847):
- Politica di divulgazione secondo art. 13 e 14 CRA.
- Software Bill of Materials (CycloneDX 1.5) per componente.
- Documentazione tecnica secondo l'Allegato VII, conservata 10 anni.
- Pagina di stato pubblica e cronologia incidenti su /status
7. Hall of Fame
Un elenco dei ricercatori di sicurezza che contribuiscono a Chorilo sarà pubblicato dopo la risoluzione dei primi rapporti.