Programma di divulgazione responsabile
Trouve Tes Clients accoglie i ricercatori di sicurezza che ci aiutano a proteggere i nostri utenti e i loro dati. Questa pagina descrive i nostri impegni, il perimetro e le modalità di segnalazione.
Ultimo aggiornamento: 11 maggio 2026
Il nostro impegno (safe harbor)
Finché rispetti questa politica, ci impegniamo a non intraprendere azioni legali contro i ricercatori in buona fede che restano nel perimetro, a trattare la tua segnalazione in modo riservato e a darti credito pubblicamente se lo desideri.
Perimetro
Inclusi
- app.trouvetesclients.com — applicazione principale
- trouvetesclients.com — sito marketing
- Estensione Chrome Trouve Tes Clients (in arrivo)
- Endpoint API pubblici (/api/v1/*)
Fuori perimetro
- DoS volumetrico (flood, amplificazione, brute-force massivo)
- Social engineering di dipendenti, fornitori o utenti
- Attacchi fisici agli uffici o all'hardware
- Vulnerabilità di terze parti (Stripe, Supabase, Clerk, Hetzner, Cloudflare) — da segnalare al fornitore interessato
Come segnalare
Invia la tua segnalazione via email a:
Email sicurezza : security@trouvetesclients.com
Chiave PGP disponibile su richiesta allo stesso indirizzo (fingerprint da pubblicare).
Risposta entro 48 ore lavorative (lunedì–venerdì, esclusi i giorni festivi francesi).
Contenuto atteso
- Descrizione chiara della vulnerabilità
- Componenti interessati (URL, endpoint, parametro)
- Passi di riproduzione riproducibili
- Impatto stimato e prove (screenshot, PoC minimo)
Processo
Conferma di ricezione
Entro 48 ore lavorative — conferma e richiesta di chiarimenti se necessario.
Triage
Entro 5 giorni lavorativi — valutazione dell'impatto, attribuzione di una severità, apertura di un ticket interno.
Correzione
Tempi target: Critical 24–72 h, High 7 giorni, Medium 30 giorni, Low 90 giorni.
Disclosure coordinata
Pubblicazione congiunta (advisory, changelog) secondo un calendario concordato, tipicamente 90 giorni dopo il fix.
Ricompense
Nessun bug bounty monetario in questa fase. In cambio: ringraziamenti pubblici su questa pagina, menzione nominativa nel changelog della versione corretta, lettera di referenza firmata dalla direzione e gadget su richiesta. Un programma retribuito è allo studio per il 2026–2027.
Ringraziamenti
Sii il primo ad apparire qui.
Domande frequenti
- La mia segnalazione è valida se l'ho già inviata tramite un altro canale?
- Sì, a condizione di menzionarlo e che la segnalazione iniziale risalga a meno di 30 giorni.
- Posso testare in produzione?
- Sì, a condizione di usare i tuoi account di test e di rispettare le regole d'ingaggio. Evita le ore di punta (9–11 CET) per limitare l'impatto operativo.
- Cosa fare in caso di accesso accidentale a dati di terzi?
- Interrompi immediatamente, non memorizzare nulla e segnalalo nel report. Questo non compromette il safe harbor.
- Quanto tempo prima di poter pubblicare?
- Per impostazione predefinita 90 giorni dopo il rilascio della correzione, o immediatamente se lo richiedi e il fix è confermato.
- C'è una ricompensa economica?
- Non per il momento. Offriamo credito pubblico, lettera di referenza e gadget. Un programma retribuito è previsto per il 2026–2027.