Foxit considera la sicurezza un aspetto essenziale e mira a offrire le soluzioni e i servizi più sicuri del mercato per proteggere i dati e i sistemi dei clienti. In Foxit, indaghiamo su tutte le segnalazioni di vulnerabilità ricevute e implementiamo la migliore linea d'azione per proteggere i nostri clienti. Foxit ritiene che lavorare con ricercatori esperti nel campo della sicurezza possa permettere di identificare i punti deboli in qualsiasi tecnologia.
Se sei un ricercatore nel campo della sicurezza e hai scoperto una vulnerabilità nei nostri prodotti e servizi, apprezziamo il tuo aiuto nel rivelarcelo in maniera responsabile.
Se identifichi una vulnerabilità verificata in conformità con la Politica di divulgazione responsabile, il team di sicurezza di Foxit si impegna a:
- Fornire una immediata ricevuta del report di vulnerabilità (entro 48 ore lavorative dall'invio)
- Lavorare a stretto contatto con te per comprendere la natura del problema e stabilire insieme le tempistiche per la correzione/divulgazione
- Avvisare quando la vulnerabilità è stata risolta, in modo che possa essere nuovamente testata e confermata come risolta.
- Pubblicare una descrizione in un bollettino sulla sicurezza al rilascio della correzione e riconoscere il tuo contributo.
- Pubblicare un avviso di sicurezza, se necessario
Segnalazione di una potenziale vulnerabilità di sicurezza:
- Inviare un'e-mail a [email protected] per richiedere la chiave GPG
- Condividere in privato con Foxit i dettagli della vulnerabilità sospetta inviando un'e-mail crittografata utilizzando la chiave GPG a [email protected]
- Fornire i dettagli completi della vulnerabilità sospetta affinché il team di sicurezza di Foxit possa convalidare e riprodurre il problema
Foxit non permette alcuni tipi di ricerca di sicurezza:
Per incoraggiare una divulgazione responsabile, chiediamo a tutti i ricercatori di rispettare le seguenti linee guida:
- Fornirci una quantità di tempo ragionevole per risolvere il problema prima di divulgarlo al pubblico o a terzi. È nostro obiettivo risolvere i problemi critici il più rapidamente possibile.
- Fare uno sforzo in buona fede per evitare di violare la privacy, distruggere dati oppure interrompere o degradare il servizio di Foxit Software.
Durante la ricerca, è espressamente vietata la seguente condotta:
- Eseguire azioni che possano influire negativamente su Foxit e relativi utenti (ad esempio spam, attacchi di forza bruta, DoS, ecc.)
- Accedere, o tentare di accedere, a dati o informazioni che non ti appartengono
- Cancellare o alterare, oppure tentare di cancellare o alterare, dati o informazioni che non ti appartengono
- Condurre qualsiasi tipo di attacco fisico o elettronico mirato a personale, proprietà o data center di Foxit
- Condurre attività di social engineering diretti a servizio di assistenza clienti, dipendenti o fornitori di Foxit
- Violare qualsiasi legge o rompere un accordo per scoprire vulnerabilità
Il Chief Security Officer e il General Counsel di Foxit riesaminano ogni anno la nostra politica sulla divulgazione delle vulnerabilità da un punto di vista legale e operativo.
Foxit desidera ringraziare ogni singolo ricercatore che invia un report di vulnerabilità, aiutandoci in tal modo a migliorare la sicurezza generale dei prodotti e dei servizi di Foxit.
