Vulnerability Disclosure Policy (VDP)

Also available in English

Noi della Mobiliare apprezziamo l’importante ruolo svolto dai ricercatori indipendenti sulla sicurezza («security researcher»), che agiscono in modo etico per garantire la sicurezza dei nostri dati, di quelli della cittadinanza e della nostra clientela nonché l’affidabilità dei nostri prodotti e servizi. Accogliamo pertanto con favore le segnalazioni, trasmesse in modo responsabile, delle falle di sicurezza negli asset digitali che possediamo, gestiamo o di cui eseguiamo la manutenzione.

La presente policy descrive i passi per segnalare le falle di sicurezza. La preghiamo di leggere attentamente il documento prima di testare la presenza di eventuali falle di sicurezza nei nostri sistemi. È nostro intento collaborare attivamente con i ricercatori sulla sicurezza al fine di verificare e rimuovere le falle di sicurezza segnalate.

Segnalare falle di sicurezza

In scope 

Tutti i valori patrimoniali digitali accessibili pubblicamente che sono in possesso della Mobiliare oppure che vengono utilizzati o gestiti dalla Mobiliare. 

Out of scope 

La preghiamo di considerare che

  • per alcune parti dei nostri sistemi e della nostra infrastruttura ci avvaliamo di servizi di altre imprese e/o organizzazioni;
  • la nostra infrastruttura comprende alcuni sistemi di cui non abbiamo il controllo diretto.

Le falle di sicurezza che vengono scoperte o presunte in questi sistemi devono essere segnalate al rispettivo provider o all’autorità competente. Qualora dovessero comunque pervenirci delle segnalazioni attraverso questo canale, sarà nostra premura inoltrare le falle di sicurezza identificate all’organizzazione competente. Il proprietario del sistema IT interessato resta tuttavia responsabile del sistema stesso e delle possibili misure volte a rimuovere le falle di sicurezza.

Il nostro obbligo 

Per quanto riguarda la collaborazione con noi nell’ambito della presente policy, può aspettarsi da noi quanto segue:

  • pronta reazione per confermare la ricezione della segnalazione della falla di sicurezza;
  • collaborazione proattiva per poter seguire la segnalazione e convalidarla;
  • dialogo aperto per discutere di eventuali problemi o sfide;
  • rimozione quanto più rapida possibile delle falle di sicurezza scoperte;
  • stima dell’arco di tempo necessario per il trattamento della segnalazione delle falle di sicurezza;
  • aggiornamento sui progressi del processo di trattamento della falla di sicurezza;
  • avviso di avvenuta rimozione della falla di sicurezza;
  • riconoscimento se lei è la prima persona a segnalare una falla di sicurezza straordinaria e se la sua segnalazione comporta una modifica del codice o della configurazione;
  • approntamento di un Legal Safe Harbor mediante la presente policy per consentire la ricerca proattiva delle falle di sicurezza.

Le nostre aspettative 

Nell’ambito della partecipazione al nostro programma di Vulnerability Disclosure ci aspettiamo da lei che:

  • si attenga alle regole e alle indicazioni descritte nella presente policy;
  • in relazione alla collaborazione e alle conseguenti segnalazioni non violi alcuna legge in vigore;
  • ci segnali immediatamente qualsiasi falla di sicurezza scoperta;
  • non tragga profitto dalle falle di sicurezza scoperte o non le utilizzi in modo diverso da quello consentito allo scopo di inviarcene debita segnalazione;
  • rispetti la sfera privata delle altre persone, non guasti i nostri sistemi, non distrugga alcun dato e non comprometta altri utenti dei sistemi;
  • utilizzi solo i canali ufficiali per la segnalazione al fine di discutere con noi delle informazioni riguardanti le falle di sicurezza;
  • garantisca la confidenzialità dei dettagli sulle falle di sicurezza scoperte conformemente alla presente policy;
  • se una falla di sicurezza permette l’accesso involontario ai dati, ci aspettiamo che limiti l’accesso al minimo assoluto per dimostrare la falla di sicurezza, interrompa il test e ci inoltri immediatamente una segnalazione;
  • interagisca solo con account di prova che le appartengono o per i quali ha ricevuto l’approvazione esplicita da parte del titolare del conto;
  • non avanzi alcuna pretesa con la segnalazione;
  • ci conceda un lasso di tempo adeguato (90 giorni dalla prima segnalazione) per rimuovere il problema;
  • coordini con noi un’eventuale pubblicazione delle falle di sicurezza. 

Tipi di test sulla sicurezza non consentiti dalla Mobiliare

La incoraggiamo a segnalarci tutte le falle di sicurezza scoperte, ma le seguenti attività sono strettamente proibite nell’ambito della presente policy:

  • azioni che possono compromettere i nostri sistemi o la nostra clientela (ad es. phishing, spam, attacchi di forza bruta, denial-of-service ecc.);
  • distruzione, danneggiamento o modifica di dati o informazioni che non le appartengono o il tentativo di farlo;
  • esecuzione di attacchi fisici o di altro tipo nei confronti del nostro personale, della nostra proprietà, dei nostri stabili o della nostra infrastruttura;
  • ingegneria sociale nei confronti del nostro personale, della nostra clientela o dei nostri mandatari.

Divulgazione coordinata di falle di sicurezza (CVD)

Apprezziamo gli sforzi dei ricercatori sulla sicurezza esterni che individuano le falle di sicurezza e le divulgano responsabilmente perché possano essere rimosse. La nostra policy consente la pubblicazione purché siano soddisfatte le seguenti condizioni (Coordinated Vulnerability Disclosure):

  • la persona che effettua la segnalazione non può pubblicare la falla di sicurezza prima di aver ricevuto la nostra conferma di avvenuta rimozione e di accettazione da parte nostra che l’informazione possa essere divulgata;
  • una pubblicazione viene accettata dopo 90 giorni a condizione che sia stata coordinata con noi;
  • non può aver luogo alcuna pubblicazione dei dettagli precisi del problema, come ad es. exploit o codice proof-of-concept.

Canali ufficiali 

La preghiamo di segnalare le falle di sicurezza mediante il https://app.bugbounty.ch/public/engagement/details/470451ae-a71a-4b88-b86e-7d66601b3536 e di indicare tutte le informazioni rilevanti. La invitiamo a non inoltrare rapporti di tool automatizzati senza controllarli. Maggiori sono i dettagli che mette a disposizione tra i seguenti, più semplice sarà per noi analizzare il problema e rimuoverlo nonché riconoscere il suo impegno.

  • Descrizione tecnica della falla di sicurezza, incluse:
    • informazioni sul browser utilizzato (tipo e versione)
    • informazioni rilevanti su componenti e dispositivi collegati
    • piattaforma/e e URL interessate
  • Codice di esempio per la dimostrazione della falle di sicurezza e/o passi dettagliati per la riproduzione
  • Valutazione della minaccia/del rischio
  • Data e ora della scoperta
  • Informazioni di contatto
  • Eventuali piani per la pubblicazione, se si intende eseguirla

Non dimentichi che questi canali possono essere utilizzati esclusivamente per la segnalazione di falle di sicurezza non divulgate e non per altre richieste di supporto o di informazioni. Non seguirà alcuna risposta alle richieste che non riguardano le falle di sicurezza non divulgate.

Legal Safe Harbor 

  • Non avvieremo azioni civili né presenteremo denunce presso le autorità di perseguimento penale contro le persone partecipanti a questo programma per violazioni non intenzionali della policy, a condizione che queste siano avvenute in buona fede.
  • Non interpreteremo le attività dei partecipanti che soddisfano le direttive contenute in questa policy come accesso indebito ai sensi del Codice penale svizzero (articoli 143, 143bis e 144bis).
  • Non presenteremo alcuna denuncia contro i partecipanti che, per proteggere i servizi citati nella presente policy, provano ad aggirare le misure di sicurezza adottate.
  • Nel caso in cui terzi dovessero adire le vie legali contro un partecipante e il partecipante avesse agito secondo la presente policy, compieremo i passi necessari per dimostrare alle autorità che le azioni di tale partecipante hanno avuto luogo in conformità con la presente policy.
  • È possibile formulare un avvertimento per violazioni di poco conto. In caso di violazioni gravi ci riserviamo il diritto di sporgere una denuncia penale.

Lei deve come sempre rispettare tutte le leggi in vigore. Se in un qualsiasi momento dovesse avere delle perplessità o non sapesse se i suoi test e le sue attività sono conformi con questa policy, ci invii un messaggio mediante uno dei nostri canali ufficiali prima di proseguire con le sue attività.

Consideri che il Legal Safe Harbor è valido solo per le pretese legali che rientrano nel controllo della Mobiliare Svizzera Società d’assicurazioni SA, della Mobiliare Svizzera Società d’assicurazioni sulla vita SA, della Mobiliare Svizzera Services SA, della Mobiliare Svizzera Asset Management SA, della Protekta Assicurazione di protezione giuridica SA, della Mobiliare Svizzera Risk Engineering SA, della Mobi24 SA e di XpertCenter SA. Inoltre, la policy non vincola terzi indipendenti.

La presente policy è soggetta al diritto svizzero. Foro competente esclusivo per tutte le controversie da essa derivanti o in relazione con la stessa è quello di Berna, Svizzera. Restano riservati altri fori obbligatori.

Segnalare falle di sicurezza