Vulnerability Disclosure Policy

Divulgazione coordinata delle vulnerabilità

Vulnerability Disclosure Policy (VDP) per Password Depot

In vigore dal: 10 marzo 2026

Segnala una vulnerabilità Security Advisories
Safe Harbor Ambito di applicazione Conferma entro 48h Coordinated Disclosure
Finalità e ambito di applicazione

Finalità di questa policy

AceBIT GmbH accoglie con favore le segnalazioni di vulnerabilità di sicurezza in Password Depot e nei servizi web correlati gestiti da AceBIT. Questa policy descrive come i ricercatori di sicurezza possono segnalare potenziali vulnerabilità, quali regole si applicano alla ricerca in materia di sicurezza e quali impegni assume AceBIT nell'ambito di una divulgazione coordinata.

Le segnalazioni possono essere inviate in tedesco o in inglese.

Ambito di applicazione

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Servizi web relativi al prodotto su password-depot.de

Inclusi i componenti di terze parti nella misura in cui fanno parte dei prodotti sopra elencati.

Escluso dall'ambito

  • Ambienti di produzione dei clienti, installazioni personalizzate e altri sistemi di terze parti
  • Servizi o infrastrutture gestiti da terze parti che non fanno parte di Password Depot
  • Social engineering, phishing, attacchi fisici, spam, brute force, credential stuffing, scansioni di massa o test denial-of-service
Safe Harbor

Safe Harbor

Se agite in buona fede, rispettate questa policy, limitate i vostri test all'ambito sopra descritto e non accedete, modificate, cancellate, esfiltrate dati o compromettete servizi, rinunceremo – nei limiti consentiti dalla legge – ad azioni civili derivanti da tale ricerca di sicurezza.

Nella misura in cui ciò rientra nella nostra sfera di controllo ed è legalmente consentito, non sporgeremo nemmeno denuncia penale in relazione a tale ricerca di sicurezza.

Ciò non si applica ad azioni al di fuori dell'ambito, a test contro sistemi di clienti o di altre terze parti, a violazioni della protezione dei dati, a interruzioni operative o ad altre violazioni della normativa applicabile.

Questa policy non costituisce autorizzazione per test al di fuori dell'ambito qui descritto.
Guidelines

Le nostre aspettative nei confronti dei ricercatori di sicurezza

1 Agite con attenzione, in buona fede e limitate i vostri test a quanto necessario per dimostrare la vulnerabilità in modo riproducibile.
2 Non accedete a dati reali dei clienti. Se ottenete involontariamente accesso a dati personali o altri dati sensibili, interrompete immediatamente il test e informateci senza indugio.
3 Non modificate, cancellate, esfiltrate o pubblicate alcun dato.
4 Non eseguite test che possano compromettere sistemi o servizi o ridurne la disponibilità.
5 Non utilizzate social engineering, phishing, attacchi fisici e non installate backdoor o meccanismi di persistenza.
6 Non divulgate i dettagli pubblicamente prima che sia stata concordata congiuntamente una data di divulgazione coordinata.
Segnalazione

Come segnalare una vulnerabilità

Inviare una segnalazione

Si prega di inviare la segnalazione a:

security@password-depot.de

Si prega di includere

  • Prodotto interessato, versione, build e componente
  • Descrizione della vulnerabilità
  • Passaggi per la riproduzione / proof of concept
  • Valutazione dell'impatto e della gravità
  • Ambiente di test, configurazione e prerequisiti
  • Dati di contatto e, se desiderato, richiesta di attribuzione
Si prega di non inviare dati personali non necessari né grandi quantità di dati provenienti da ambienti di produzione.

Riservatezza

Trattiamo la vostra segnalazione e – se lo desiderate – la vostra identità in modo riservato, nei limiti consentiti dalla legge. Pubblichiamo il vostro nome solo con il vostro previo consenso.

La comunicazione delle vostre informazioni avviene solo nella misura necessaria per la verifica, la risoluzione e la divulgazione coordinata della vulnerabilità o per l'adempimento di obblighi di legge.

Processo

Cosa succede dopo la vostra segnalazione

Conferma di ricezione 48 ore Confermiamo la ricezione della vostra segnalazione.
Valutazione iniziale 7 giorni Vi comunichiamo se classifichiamo la segnalazione come valida, duplicata, fuori ambito o attualmente non riproducibile.
Aggiornamenti periodici ogni 30 giorni Vi teniamo informati sullo stato di avanzamento fino alla risoluzione o alla divulgazione coordinata.
Divulgazione

Divulgazione coordinata e Security Advisories

Non appena è disponibile un aggiornamento di sicurezza o un'altra misura correttiva efficace, pubblichiamo generalmente un security advisory per le vulnerabilità confermate che richiedono una correzione.

Qualora una pubblicazione immediata compromettesse la sicurezza dei nostri utenti, possiamo posticipare la pubblicazione fino a un momento appropriato.

Un advisory contiene come minimo

  • Una descrizione della vulnerabilità
  • I prodotti e le versioni interessati
  • Impatto e gravità
  • Indicazioni chiare sulla correzione o sulla mitigazione

Nota sugli obblighi di segnalazione previsti dalla legge

Se una segnalazione indica una vulnerabilità attivamente sfruttata o un grave incidente di sicurezza, potremmo essere obbligati per legge a trasmettere le informazioni tecniche necessarie alle autorità competenti, al CSIRT competente e a ENISA, nonché a informare gli utenti interessati.

La vostra identità viene comunicata solo nella misura in cui ciò sia richiesto dalla legge.

Riconoscimento

Al momento non offriamo ricompense economiche o pagamenti bug bounty, salvo diversa comunicazione esplicita.

Se lo desiderate, vi citeremo per nome dopo la risoluzione della vulnerabilità in un security advisory o in una sezione di ringraziamenti. Vi preghiamo di comunicarcelo al momento della segnalazione.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Germania
E-mail: security@password-depot.de
Segnala una vulnerabilità