Introduzione
Per Criteo, la sicurezza dei prodotti e servizi che offre è fondamentale. Il nostro obiettivo è assicurare a clienti e utenti la miglior esperienza possibile, garantendo protezione e sicurezza per le informazioni e i dati che ci vengono affidati. A tal fine, accogliamo favorevolmente la divulgazione responsabile ed etica di eventuali vulnerabilità di sicurezza, sia da parte di ricercatori che del pubblico. Questa politica ha l’obiettivo di illustrare le nostre esigenze nell’ambito della segnalazione responsabile delle vulnerabilità, nonché la procedura di gestione delle stesse.
Autorizzazione
Se rispetti questa politica nel corso delle tue ricerche, Criteo riterrà che le azioni da te intraprese come autorizzate e non intraprenderà alcuna azione legale nei tuoi confronti.
Il nostro impegno
Quando ci comunicherai delle problematiche in linea con questa politica, agiremo nel seguente modo:
- Risponderemo alla tua segnalazione entro 3 giorni lavorativi e lavoreremo insieme a te per comprenderla e risolvere il problema
- Interverremo per correggere le vulnerabilità segnalate il prima possibile, a meno che non rappresentino un rischio accettabile per noi
- Ti informeremo sui progressi relativi alla risoluzione del problema
- Garantiremo la riservatezza delle informazioni riguardanti te e la vulnerabilità segnalata, salvo diverso accordo
- Ti assegneremo una ricompensa in base a quanto descritto nella relativa sezione
Linee guida
Affinché le tue ricerche siano considerate attività autorizzate ai sensi di questa politica, dovrai:
- Agire in buona fede ed evitare di utilizzare i sistemi e le applicazioni secondo modalità che possano danneggiare Criteo o i nostri clienti
- Informarci non appena rileverai un problema di sicurezza, che sia reale o potenziale
- Rendere noto il problema solo dopo che avremo implementato una soluzione e secondo un accordo reciproco, che definirà le tempistiche di tale divulgazione e il livello di dettagli da includere
mentre ti sarà proibito:
- Accedere ai dati relativi ad account che non hai creato, modificarli o procedere alla rimozione degli stessi
- Utilizzare strumenti altamente invasivi o di natura distruttiva
- Inviare volumi elevati di segnalazioni di bassa qualità (ad esempio, ottenuti riportando semplicemente i risultati degli scanner)
- Utilizzare uno qualsiasi dei seguenti metodi di test:
- DoS (Denial of Service), DDoS (Distributed Denial of Service) o altri test che rendano difficoltoso l’accesso a un sistema, possano danneggiare il sistema stesso o i dati
- Test fisici (per es. accesso agli uffici, porte lasciate aperte, tailgating)
- Test di ingegneria sociale (per es. phishing, vishing) o qualsiasi altro test di vulnerabilità non tecnico
- Divulgare le tue scoperte a terzi senza previa autorizzazione scritta di Criteo
- Utilizzare un exploit per violare dati o sottrarli, per stabilire un accesso persistente al terminale di comando o per spostarti su altri sistemi. Gli exploit devono essere utilizzati solo nella misura necessaria a confermare la presenza della vulnerabilità. Se hai dubbi, segnalaceli per sottoporli a una verifica.
Una volta accertata la presenza di una vulnerabilità o se vengono individuati dati sensibili (compresi dati personali, informazioni di carattere finanziario, proprietarie e segreti industriali di qualsiasi parte), dovrai interrompere il test, avvisarci immediatamente e ti sarà permesso divulgare tali dati a terzi.
Ambito
Questa politica si applica a tutte le risorse digitali gestite e mantenute da Criteo o di sua proprietà. Sono esclusi i servizi di terzi accessibili tramite uno dei nostri sottodomini o integrati nei nostri prodotti.
Troverai una descrizione dettagliata e aggiornata della nostra policy su BugCrowd.
Riconoscimenti
Criteo può riconoscere dei premi e assegnarli a chi ci segnala in modo responsabile ed etico eventuali problematiche di sicurezza, a condizione che siano rispettate le disposizioni di questa politica. L’importo di tali premi, se concessi, sarà determinato a nostra discrezione in base a vari parametri, tra cui la gravità della vulnerabilità rilevata, il suo impatto e la qualità della segnalazione effettuata.
In generale, le somme di tali premi spaziano dai 175 $ per le vulnerabilità di minor impatto fino a 4.500 $ per le criticità di maggior rischio.
Si noti che tutti i premi sono gestiti tramite il nostro programma privato su BugCrowd, quindi sarà necessario avere un account di BugCrowd per riceverli.
Segnalazione di una vulnerabilità
I nostri premi di bug bounty vengono erogati esclusivamente tramite BugCrowd. Per segnalare una potenziale vulnerabilità di sicurezza, crea un report sulla loro piattaforma completo di descrizione dettagliata e passaggi necessari per riprodurre quanto riscontrato.
Se al momento non fai parte del nostro programma di bug bounty privato, puoi inviarci un’email con il tuo identificativo di BugCrowd a security@criteo.com; se soddisfi i nostri criteri di idoneità ti manderemo un invito.
Per segnalare una potenziale vulnerabilità di sicurezza, puoi anche semplicemente inviare un’email a security@criteo.com con la descrizione dettagliata della stessa, comprensiva dei passaggi necessari per riprodurre quanto riscontrato.
Clienti
Se sei cliente di Criteo, tieni presente che, oltre al nostro programma di bug bounty, effettuiamo regolarmente test di valutazione della sicurezza informatica, di cui potrai chiedere i risultati al tuo referente presso di noi.
Domande
Se hai domande su questa politica o sulla sicurezza informatica presso Criteo, contattaci all’indirizzo security@criteo.com.
Grazie per l’impegno che dedichi a mantenere Criteo in sicurezza. Apprezziamo il tuo contributo per rendere i nostri prodotti e servizi più sicuri.
