Politica di divulgazione delle vulnerabilità
TAP accoglie con favore la divulgazione responsabile delle vulnerabilità. Questa politica descrive le regole che la governano e come inviarci una segnalazione. Si prega di notare che TAP può modificare questa politica di volta in volta.
Lei, ricercatore di sicurezza che intende contribuire alla scoperta di vulnerabilità di sicurezza nelle nostre applicazioni deve leggere questa politica prima di intraprendere tale attività e seguire le regole qui descritte.
- TAP non offre un compenso finanziario per la segnalazione delle vulnerabilità.
- TAP può consentire di essere citato come riferimento alle condizioni menzionate nelle regole di pubblicazione.
- Le chiediamo di non rivelare la vulnerabilità prima che TAP ne confermi la risoluzione.
- Le chiediamo di ottenere la nostra approvazione scritta per la divulgazione.
- Le chiediamo di omettere o oscurare le informazioni riservate nella divulgazione.
- I seguenti domini: www.flytap.com, booking.flytap.com, myb.flytap.com, store.flytap.com, bidmiles-and-go.flytap.com, www.tapcorporate.com, corporatebooking.flytap.com, www.tapairportugal.com, www.tapme.pt, www.tapcargo.com, www.cartaocreditomilesandgo.flytap.com, cartoesdecredito.flytap.com.
- App mobile TAP Air Portogallo (iOS e Android).
- Qualsiasi dominio non specificamente incluso nell'ambito.
- Qualsiasi altra applicazione, mobile, web o altro non inclusa nell'ambito.
- Vulnerabilità nei servizi integrati appartenenti ad altre società.
- Scansioni automatizzate.
- Test di prestazioni o stress e attacchi di disturbo, inclusi i test di negazione del servizio (DoS o DDoS).
- Attacchi ai dipendenti o agli utenti di TAP, inclusi ingegneria sociale, estorsione, spamming o phishing.
- Compromissioni della sicurezza fisica.
- Introduzione di backdoor o di qualsiasi accesso persistente.
- Introduzione di modifiche a sistemi o applicazioni.
- Modifica o cancellazione di dati in sistemi o applicazioni.
- Output di scansioni automatizzate.
- Migliori pratiche di sicurezza, come intestazioni di sicurezza, flag di cookie.
- Versioni SSL/TLS o cifrari non sicuri.
- Problemi di SPF, DKIM e DMARC.
- Vulnerabilità con impatto minimo.
- Una vulnerabilità già segnalata o rilevata dai propri mezzi di TAP.
- Agire in buona fede e rispettare le leggi vigenti.
- Non violare la privacy, l'integrità o la disponibilità dei dati.
- Non estrarre dati.
- Segnalare tempestivamente qualsiasi vulnerabilità scoperta esclusivamente a TAP.
- Eseguire le attività di test solo nella misura necessaria a confermare la vulnerabilità. Smettere non appena è possibile provarne l'esistenza.
- Se non è sicuro che le attività di test non causeranno danni a TAP, interrompa i test e ci contatti.
- Ci fornisca dettagli sufficienti per riprodurre la vulnerabilità.
- Ci conceda un periodo di tempo ragionevole per analizzare, riprodurre e correggere la vulnerabilità.
- Ci fornisca la segnalazione in inglese o in portoghese.
- Ci invii un'e-mail utilizzando questo indirizzo e-mail: [email protected].
- Le consigliamo vivamente di crittografare la segnalazione utilizzando la nostra chiave pubblica PGP [pubblicata qui].
- Rispondere in modo tempestivo e accusare la ricezione della segnalazione.
- Lavorare con lei per capire e convalidare i suoi risultati e discutere i problemi.
- Sviluppare misure per porre rimedio tempestivamente alle vulnerabilità scoperte.
- Avvisarla quando la vulnerabilità è stata risolta.
TAP utilizzerà i suoi dati personali solo per contattarla nell'ambito della sua segnalazione di vulnerabilità.
Tuttavia, in caso di necessità, potremmo divulgare i suoi dati personali ai nostri partner commerciali, ma sempre in conformità con la legislazione sui dati personali in vigore.
Conserveremo i suoi dati personali per un periodo non superiore a 1 anno, dopo la conclusione del processo.
Tuttavia, in caso di necessità, potremmo divulgare i suoi dati personali ai nostri partner commerciali, ma sempre in conformità con la legislazione sui dati personali in vigore.
Conserveremo i suoi dati personali per un periodo non superiore a 1 anno, dopo la conclusione del processo.