[go: up one dir, main page]
Italiano

Programma di divulgazione delle vulnerabilità

21.01.2026

Linee guida per la collaborazione

MediData promuove la collaborazione con ricercatori indipendenti in materia di sicurezza che agiscono in buona fede per contribuire a proteggere i nostri clienti, i cittadini e i servizi.

Lavorando insieme, puntiamo a rafforzare la fiducia nei nostri prodotti e servizi e a garantirne l’affidabilità e la sicurezza. Accogliamo con favore qualsiasi segnalazione o indicazione, presentata in buona fede, di potenziali vulnerabilità, indipendentemente dalla loro gravità, poiché ci aiutano a migliorare costantemente.

La presente policy spiega come segnalare potenziali vulnerabilità negli asset digitali detenuti da MediData e i termini in base ai quali autorizziamo attività di ricerca svolte in buona fede.

 

Ambito dei sistemi

Inclusi nell’ambito

Sistemi pubblici di proprietà/gestione/manutenzione MediData:

  • *.medidata.ch
  • API pubbliche e applicazioni web nell’ambito del suddetto dominio

Esclusi dall’ambito

Alcune parti dei nostri sistemi e infrastrutture utilizzano servizi di altre aziende e/o organizzazioni:

  • Servizi, fornitori e piattaforme di terze parti che utilizziamo, ma che non possediamo né controlliamo
  • Sicurezza fisica e tecniche di social engineering rivolte a dipendenti, clienti o appaltatori
  • Attacchi di Denial of Service (DoS), spam, brute force, phishing o qualsiasi attività che degradi il servizio
  • Scansioni automatizzate per la scoperta di asset che causano carico significativo o allarmi

Le vulnerabilità scoperte o sospette in tali sistemi devono essere segnalate all’ente, al fornitore o all’autorità competente. In caso contrario, porteremo la vulnerabilità all’attenzione dell’organizzazione pertinente. La gestione del sistema e delle eventuali attività correttive restano comunque responsabilità del proprietario del sistema IT interessato.

Valutazione della gravità

Utilizziamo CVSS v3.1 per valutare la gravità delle vulnerabilità.

 

Compiti dei clienti e dei ricercatori

Compiti di MediData

Quando si collabora con MediData, secondo quanto previsto dalla presente policy, ci si può attendere che MediData si impegni a:

  • Rispondere in modo tempestivo, confermando la ricezione della segnalazione di vulnerabilità
  • Collaborare per comprendere e convalidare la segnalazione
  • Mantenere un dialogo aperto per discutere eventuali problematiche
  • Lavorare per rimediare alle vulnerabilità scoperte in modo tempestivo
  • Fornire una stima dei tempi previsti per la gestione della segnalazione di vulnerabilità
  • Mantenere aggiornati gli interessati sullo stato di avanzamento della gestione della vulnerabilità
  • Informare gli interessati quando la vulnerabilità è stata risolta
  • Riconoscere il contributo fornito: se si è i primi a segnalare una vulnerabilità unica e la segnalazione comporta una modifica al codice o alla configurazione, le segnalazioni valide vengono riconosciute in un Hall of Fame o mediante una lettera di riconoscimento

Compiti dei ricercatori

Apprezziamo molto il sostegno e l’esperienza dei ricercatori. Per garantire una collaborazione sicura ed efficace, chiediamo ai ricercatori di seguire i seguenti principi:

  • Condotta generale:
    • Agire in buona fede e rispettare la privacy: limitare l’accesso ai soli dati strettamente necessari per dimostrarne l’impatto, evitando di visualizzare informazioni personali o sensibili
    • Evitare interruzioni del servizio: astenersi da attività che possano degradare la disponibilità o la qualità del servizio (es. DoS, spam, brute force) e da qualsiasi test distruttivo
    • Rispettare l’ambito definito. Effettuare test solo sugli asset inclusi nell’ambito, evitando di estendere l’attività a sistemi esclusi o ambienti di terze parti
    • Utilizzare account appropriati. Utilizzare account di test propri o account con esplicita autorizzazione di MediData
    • Garantire la riservatezza dei dettagli di eventuali vulnerabilità scoperte, secondo quanto previsto dalla presente policy
  • Trattamento dei dati e privacy:
    • Non copiare, divulgare né conservare dati personali oltre il minimo necessario per il Proof of Concept (PoC)
    • Accedere, estrarre, memorizzare o modificare solo i dati strettamente necessari per dimostrarne l’impatto
    • Cancellare immediatamente qualsiasi dato ottenuto involontariamente durante la ricerca, subito dopo averlo segnalato
    • Se si riscontrano dati sensibili, interrompere immediatamente i test e segnalare quanto scoperto

Segnalazioni e coordinamento

  • Trasmettere le segnalazioni il prima possibile.
  • Utilizzare esclusivamente i canali ufficiali di divulgazione per discutere con MediData i dettagli sulle vulnerabilità.
  • Concedere a MediData un periodo di tempo ragionevole per consentire la risoluzione del problema.
  • Coordinare la pubblicazione. Non pubblicare dettagli prima della conferma della correzione e del rilascio di un’approvazione scritta da parte di MediData. Evitare la condivisione di codice di exploit o PoC che consentono una replicazione immediata.

Attività vietate

Pur incoraggiando la segnalazione di eventuali vulnerabilità individuate, le seguenti condotte sono vietate:

  • Social engineering nei confronti di dipendenti, clienti, appaltatori o cittadini
  • Intrusione fisica o attacchi al personale, alla proprietà o all’infrastruttura
  • Distruzione o corruzione dei dati o tentativi di compiere tali azioni
  • Credential stuffing, attacchi DoS volumetrici, phishing o estorsione (non devono mai essere utilizzate minacce o richieste di riscatto)

 

Processo di segnalazione

Canale di segnalazione

Le segnalazioni di problemi di sicurezza devono essere inviate tramite Bug Bounty Switzerland includendo tutte le informazioni pertinenti.

Per problematiche urgenti che incidono sulla sicurezza o comportano un’esposizione di dati su larga scala, la segnalazione deve essere contrassegnata come URGENT.

Contenuto richiesto

Non devono essere inviati output di scansioni automatizzate non verificati. Per agevolare il nostro lavoro di analisi e risoluzione dei problemi, fornire il maggior numero di informazioni dell’elenco di seguito riportato:

  • Descrizione tecnica della vulnerabilità, che comprende:
    • Informazioni sul browser utilizzato (tipo e versione)
    • Informazioni rilevanti sui componenti e i dispositivi connessi
    • URL delle piattaforme interessate
  • Codice di esempio per dimostrare il problema e/o i passaggi per riprodurlo
  • Log, screenshot o brevi registrazioni dello schermo, se pertinenti
  • Valutazione dei rischi e delle minacce
  • Data e ora della scoperta
  • Informazioni di contatto del segnalante
  • Intenzione e tempistiche di divulgazione del segnalante

Si precisa che questi canali sono destinati esclusivamente alla segnalazione di vulnerabilità di sicurezza non ancora divulgate e non devono essere utilizzati per altre richieste di supporto o informazioni. Le richieste inviate a questi canali che non riguardano vulnerabilità di sicurezza non divulgate non riceveranno alcuna risposta.

 

Safe Harbor (autorizzazione legale)

Desideriamo che i ricercatori si concentrino sull’individuazione e sulla segnalazione delle vulnerabilità e non sui rischi legali.

  • Autorizzazione: le attività svolte in buona fede e in conformità con la presente policy sono considerate autorizzate ai sensi della legge applicabile. Tali attività sono interpretate come autorizzate, in particolare, ai fini degli articoli 143, 143bis e 144bis del codice penale svizzero (accesso non autorizzato e danneggiamento dei dati), a condizione che la presente policy venga rispettata.
  • MediData non intraprenderà azioni civili né segnalerà alle autorità competenti le violazioni della presente policy commesse accidentalmente o in buona fede.
  • Qualora fosse avviata un’azione legale da terzi nei confronti di un partecipante che abbia rispettato la presente policy così come descritta in questo documento, MediData adotterà le misure necessarie per informare le autorità che le azioni del partecipante sono state condotte in conformità con la policy.
  • Non verranno intraprese azioni legali per l’elusione di misure di protezione, a condizione che ciò sia strettamente necessario per dimostrare una vulnerabilità nell’ambito e nei limiti della presente policy.
  • Qualora si acceda a dati personali, codice proprietario o sistemi sensibili al di fuori di quanto strettamente necessario per un Proof of Concept, è necessario interrompere immediatamente i test e segnalarlo.
  • Per violazioni minori può essere emesso un avviso.
    Per violazioni gravi, ci riserviamo il diritto di sporgere denuncia penale.

È richiesto il rispetto di tutte le leggi applicabili. Se in qualsiasi momento dovessero sorgere dubbi o incertezze sulla conformità della propria ricerca sulla sicurezza a questa policy, si raccomanda di inviare una segnalazione tramite uno dei nostri canali ufficiali prima di proseguire.

Nota: il Safe Harbor si applica soltanto a eventuali azioni legali sotto il controllo dell’organizzazione che aderisce a questa policy. La policy non vincola terzi indipendenti.

 

Divulgazione coordinata delle vulnerabilità (CVD)

Ci impegniamo a una divulgazione coordinata:

  • La persona che segnala la vulnerabilità non deve pubblicarla prima che MediData confermi il rilascio della correzione e l’autorizzazione alla pubblicazione.
  • Qualsiasi pubblicazione deve essere preventivamente approvata per iscritto da MediData.
  • Non devono essere condivisi dettagli precisi del problema, come exploit o codice Proof of Concept.

 

Idoneità e aspetti legali

Per poter beneficiare del Safe Harbor e delle ricompense, è necessario rispettare la presente policy e tutte le leggi applicabili, non essere un/a dipendente attuale/recente e non risiedere in una giurisdizione soggetta a sanzioni.

 

Limitazioni di responsabilità

MediData non garantisce ricompense, tempi di risoluzione superiori agli obiettivi, né l’accettazione di tutte le segnalazioni. I ricercatori sono responsabili del rispetto di tutte le leggi applicabili e dell’uso di metodi di test sicuri e non distruttivi. MediData non è responsabile per danni indiretti, accidentali o consequenziali derivanti dalla partecipazione a questo programma.

 

Durata e modifiche

La presente policy entra in vigore alla data di pubblicazione e può essere aggiornata a discrezione di MediData, inclusi ambito e struttura delle ricompense. I termini aggiornati si applicano alle segnalazioni avvenute a seguito della pubblicazione. MediData si riserva il diritto di sospendere o terminare il programma in qualsiasi momento per proteggere l’integrità dei servizi e la sicurezza degli utenti.

©2026 MediData, tutti i diritti riservati

Impressum e note legali | Informativa sulla protezione dei dati | CG | PDV

Contact
Close Bubble

Contatti

Email: contact@medidata.ch
Tel: +41 41 368 23 23

Lun a Ven:
08:00 – 12:00
13:00 – 17:00