Security
Responsible Disclosure Policy
Ultimo aggiornamento: 21 aprile 2026
La sicurezza dei nostri sistemi è una priorità. Se sei un ricercatore di sicurezza e ritieni di aver scoperto una vulnerabilità, ti invitiamo a segnalarcela secondo questa policy.
1. Scope (sistemi in ambito)
In scope
- omnexcyber.com e sottodomini
- Software OMNEX distribuito come white-label (versioni attuali)
- API pubbliche documentate
Out of scope
- Infrastruttura dei nostri fornitori (hosting, email, Stripe, Google)
- Versioni obsolete del software (>12 mesi dall'ultimo rilascio)
- Istanze white-label installate presso clienti (segnalare direttamente al cliente)
- Attacchi fisici o di ingegneria sociale sul personale
- Attacchi DoS/DDoS contro i nostri sistemi
2. Regole di test
✔ Puoi
- Effettuare scan non intrusivi;
- Testare vulnerabilità di sicurezza senza impattare utenti terzi;
- Usare solo account di test creati da te;
- Limitare la PoC al minimo necessario;
- Conservare le evidenze privatamente per il report.
✘ NON puoi
- Accedere, modificare, cancellare dati altrui;
- Eseguire attacchi DoS o di volume;
- Rivelare pubblicamente la vulnerabilità prima della correzione (coordinated disclosure);
- Installare backdoor o meccanismi persistenti;
- Violare la privacy di utenti reali.
3. Safe harbor legale
OMNEX si impegna a NON perseguire legalmente i ricercatori che:
- Seguono in buona fede questa policy;
- Restano entro lo scope e le regole di test;
- Ci segnalano privatamente la vulnerabilità;
- Ci concedono un ragionevole tempo di risposta (default: 90 giorni) prima della disclosure pubblica;
- Non richiedono pagamento per la non-disclosure (estorsione).
Nei limiti dell'art. 615-ter c.p., OMNEX considera questa policy come autorizzazione scritta al test per il perimetro in scope.
4. Come segnalare
Invia il report a: omnexsecurity@gmail.com con oggetto [SECURITY] vulnerability-report.
Contenuti del report
- Tipologia della vulnerabilità (OWASP / CWE se noto);
- URL / endpoint coinvolto;
- Passi per riprodurla (step-by-step);
- Impatto stimato;
- PoC (screenshot / curl / video);
- I tuoi contatti per il follow-up.
5. SLA di risposta
| Fase | Tempo massimo |
|---|
| Acknowledgement ricezione report | 3 giorni lavorativi |
| Triage iniziale + conferma validità | 10 giorni lavorativi |
| Piano di remediation indicativo | 30 giorni |
| Patch rilasciata (severity-dipendente) | 30-90 giorni |
6. Riconoscimenti
Al momento non offriamo bounty monetaria. Offriamo:
- Pubblico ringraziamento nella nostra Hall of Fame (con consenso);
- CVE coordination se la vulnerabilità richiede un CVE;
- Possibile collaborazione futura su programmi di testing a pagamento.
Se in futuro attiveremo un programma bug bounty su HackerOne/Bugcrowd/Intigriti, aggiorneremo questa policy.
7. Contatti
8. Riferimenti
- RFC 9116 —
security.txt standard
- ISO/IEC 29147:2018 — Vulnerability disclosure
- ISO/IEC 30111:2019 — Vulnerability handling processes
- Art. 615-ter c.p. — Accesso abusivo a sistema informatico