Segnalazione di vulnerabilità

• Amazon Web Services (AWS): se desideri segnalare una vulnerabilità o un potenziale problema di sicurezza relativo ai servizi del cloud AWS o a progetti open source, invia le informazioni necessarie contattando [email protected]. Se desideri proteggere i contenuti inviati, puoi utilizzare la nostra chiave PGP.
• Amazon.com (vendita al dettaglio): se hai problemi di sicurezza con Amazon.com (vendita al dettaglio), Seller Central, Amazon Payments o altri problemi correlati, ad esempio ordini sospetti, addebiti non validi sulla carta di credito, e-mail sospette o segnalazioni di vulnerabilità, visita la nostra pagina web Security for Retail.
• Policy del servizio clienti AWS per i test di penetrazione (pen-test): i clienti AWS sono invitati a eseguire valutazioni di sicurezza o test di penetrazione (pen-test) sulla loro infrastruttura AWS, senza previa approvazione, per i servizi elencati. La richiesta di autorizzazione per la simulazione di altri eventi deve essere inviata tramite il modulo sugli eventi simulati. I clienti che operano nella Regione AWS Cina (Ningxia e Pechino) devono utilizzare questo modulo sugli eventi simulati.
• Uso illecito di AWS: se hai ragione di credere che una risorsa AWS (ad esempio un'istanza EC2 o un bucket S3) sia utilizzata per attività sospette, puoi scrivere al team che si occupa degli usi illeciti compilando il modulo di segnalazione di un uso illecito Amazon AWS o scrivendo all'indirizzo [email protected].
• Informazioni sulla conformità di AWS: i report di conformità sull'accesso ad AWS sono disponibili tramite AWS Artifact. È possibile porre eventuali ulteriori domande relative alla conformità di AWS tramite il relativo modulo di ricezione.

Per consentirci di rispondere in modo più efficace alla tua segnalazione, ti preghiamo di fornire qualsiasi materiale di supporto (codice proof of concept, output dello strumento, ecc.) che possa essere utile per aiutarci a comprendere la natura e la gravità della vulnerabilità.

Le informazioni condivise con AWS durante questo processo vengono ritenute riservate da AWS. AWS condivide queste informazioni con terzi soltanto se rileva che la vulnerabilità segnalata influenza un prodotto di terze parti, nel cui caso condivideremo queste informazioni con l'autore o il produttore del prodotto di terze parti. In caso contrario, AWS condivide queste informazioni soltanto nella forma da te consentita.

AWS esaminerà la segnalazione inviata e le assegnerà un numero di monitoraggio. Ti risponderemo quindi per confermarne la ricezione e delineare le fasi successive del processo.

Le seguenti attività esulano dal Programma AWS di segnalazione di vulnerabilità. Condurre le attività elencate di seguito comporta la squalifica permanente dal programma.

• Presa di mira delle risorse dei clienti AWS o dei siti non AWS in hosting sulla nostra infrastruttura
• Qualsiasi vulnerabilità ottenuta tramite la compromissione di clienti o account dei dipendenti AWS
• Qualsiasi attacco Denial of Service (DoS) contro prodotti o clienti AWS
• Attacchi fisici contro dipendenti, sedi e data center AWS
• Social engineering dei dipendenti, appaltatori, fornitori o service provider AWS
• Pubblicazione, trasmissione, caricamento, collegamento o invio deliberato di malware
• Perseguimento di vulnerabilità che inviano messaggi in massa (spam) non richiesti

AWS si impegna a rispondere il più velocemente possibile e a informarti costantemente sullo stato di avanzamento della richiesta. Riceverai una risposta non automatica che conferma la ricezione del rapporto iniziale entro 24 ore, aggiornamenti tempestivi e controlli mensili per tutta la durata del rapporto. Puoi richiedere aggiornamenti in qualsiasi momento e ogni discussione che chiarisca dubbi o coordinamento della divulgazione è ben accetta.

Quando applicabile, AWS coordinerà con l'autore della segnalazione la divulgazione al pubblico di eventuali vulnerabilità accertate. Quando possibile, preferiamo che le nostre rispettive comunicazioni al pubblico siano pubblicate contemporaneamente.

Per mantenere protetti i suoi clienti, AWS richiede di non pubblicare o condividere pubblicamente informazioni relative a una potenziale vulnerabilità finché tale problema non sarà stato esaminato, testato e risolto e i clienti non saranno stati informati, se necessario. Inoltre, chiediamo rispettosamente di non pubblicare o condividere dati appartenenti ai nostri clienti. Rispondere a una vulnerabilità valida segnalata richiede tempo e la cronologia in questione dipende dalla gravità della vulnerabilità e dai sistemi interessati.

AWS rende notifiche pubbliche sono sotto forma di Bollettini sulla sicurezza, che sono pubblicati nel sito web di sicurezza AWS. Singoli individui, aziende e team di sicurezza in genere pubblicano i propri avvisi sui propri siti Web e in altri forum e, se pertinente, includeremo collegamenti a tali risorse di terze parti nei bollettini sulla sicurezza di AWS.  

AWS ritiene che la ricerca di sicurezza eseguita in buona fede deve essere fornita in modalità safe harbor. Ai fini del safe harbor per la ricerca sulla sicurezza e la segnalazione delle vulnerabilità, la sicurezza AWS ha adottato i termini principali di disclose.io, in particolare "Safe Harbor" e "Le nostre aspettative". Non vediamo l'ora di lavorare con ricercatori di sicurezza che condividano la nostra passione per la protezione dei clienti AWS.

Di conseguenza, riteniamo che le ricerche sulla sicurezza condotte nell'ambito di questa policy siano:

• Autorizzate in merito a qualsiasi legge anti-hacking applicabile, quindi non avvieremo o sosterremo azioni legali contro l'utente per violazioni accidentali e in buona fede di questa politica;
• Autorizzate in merito a qualsiasi legge antielusione pertinente, quindi non presenteremo alcun reclamo nei tuoi confronti per elusione dei controlli tecnologici;
• Esenti dalle restrizioni contenute nei nostri Termini di servizio e/o nella Policy di utilizzo accettabile che potrebbero interferire con la conduzione di ricerche sulla sicurezza e rinunciamo a tali restrizioni su base limitata;
• Legalmente, utili per la sicurezza generale di Internet e condotto in buona fede.

Come sempre, ci si aspetta che tu rispetti tutte le leggi applicabili. Se una terza parte avvia un'azione legale contro di te e hai rispettato questa policy, prenderemo provvedimenti per far sapere che le tue azioni sono state condotte in conformità con questa policy.

Se in qualsiasi momento hai dubbi o non sei sicuro che la tua ricerca sulla sicurezza sia coerente con questa politica, invia una segnalazione tramite uno dei nostri canali precedentemente menzionati nella sezione "Segnalazione di vulnerabilità sospette" prima di proseguire.

Tieni presente che il safe harbor si applica solo alle rivendicazioni legali sotto il controllo dell'organizzazione che partecipa a questa policy e che quest'ultima non vincola terze parti indipendenti.

Nel partecipare in buona fede al nostro programma di divulgazione delle vulnerabilità, ti chiediamo di:

• Rispettare le regole, incluso il rispetto di questa policy e di qualsiasi altro accordo pertinente. In caso di incongruenza tra questa politica e qualsiasi altra condizione applicabile, prevarranno i termini di questa politica;
• Segnalare tempestivamente qualsiasi vulnerabilità che hai scoperto;
• Evitare di violare la privacy altrui, interrompere i nostri sistemi, distruggere i dati e/o danneggiare l'esperienza dell'utente;
• Utilizzare solo i canali menzionati in precedenza per discutere con noi delle informazioni sulle vulnerabilità;
• Fornirci un periodo di tempo ragionevole dalla segnalazione iniziale per risolvere il problema prima di divulgarlo pubblicamente;
• Eseguire test solo su sistemi che rientrano nell'ambito di applicazione e rispettare i sistemi e le attività che non rientrano nell'ambito di applicazione;
• Se una vulnerabilità fornisce un accesso involontario ai dati: limitare la quantità di dati a cui accedi al minimo necessario per dimostrare efficacemente un proof of concept; interrompere i test e inviare immediatamente un rapporto se durante il test riscontri dati degli utenti, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati della carta di credito o informazioni proprietarie;
• Interagire solo con gli account di prova che possiedi o con l'autorizzazione esplicita del titolare dell'account;
• Non impegnarti in estorsioni.