Vai al contenuto

Politica di Sicurezza

Ultimo aggiornamento: 2026-05-21.

1. Ambito

La presente Politica spiega come segnalare problemi di sicurezza che riguardano FreedivingHome (freedivinghome.com) e riassume le categorie di misure di sicurezza che proteggono il Servizio.

Per i dettagli sul trattamento dei dati personali si rimanda all'Informativa sulla Privacy. Per gli obblighi dell'Utente in materia di sicurezza dell'account si rimanda ai Termini di Servizio, Sezione 5.

La presente Politica non concede l'autorizzazione a effettuare test al di fuori dell'ambito definito di seguito.

2. Segnalazione di una vulnerabilità

Contatto: [email protected]

Si prega di anteporre nell'oggetto del messaggio il prefisso [SECURITY].

Cosa includere

La segnalazione dovrebbe includere:

  • una descrizione chiara del problema e del suo potenziale impatto;
  • i passaggi necessari per riprodurlo, comprese le eventuali precondizioni;
  • una prova di concetto (proof of concept) minimale, ove appropriato;
  • l'URL, l'endpoint, la funzionalità o il flusso utente interessati;
  • l'indicazione se siano stati incontrati dati personali, dati di terzi o disservizi;
  • i propri recapiti e, facoltativamente, il nome o lo pseudonimo da utilizzare per il riconoscimento.

Si prega di non includere dati personali non necessari, segreti, credenziali, estratti di banche dati, screenshot contenenti dati di altri utenti o materiale di exploit eccedente quanto strettamente necessario a dimostrare il problema.

Segnalazioni sensibili

Qualora la segnalazione contenga dettagli sensibili, la si invita a specificarlo nel primo messaggio: verrà fornito un metodo di comunicazione sicuro ove disponibile.

Si prega di non pubblicare dettagli di exploit, codice di proof of concept o dati di terzi prima del completamento del processo di divulgazione coordinata.

Tempi di risposta

Gli obiettivi di risposta sono i seguenti:

  • conferma di presa in carico entro 5 giorni lavorativi;
  • valutazione iniziale entro 20 giorni lavorativi;
  • aggiornamenti al segnalatore sui progressi sostanziali ove praticabile.

Tali tempi costituiscono obiettivi di risposta, non livelli di servizio garantiti. I tempi di remediation dipendono da gravità, sfruttabilità, impatto, mitigazioni disponibili e vincoli operativi.

Divulgazione coordinata

Si richiede una ragionevole opportunità di indagine e remediation prima della divulgazione pubblica.

La finestra di coordinamento predefinita è di 90 giorni di calendario dopo la nostra conferma che la segnalazione descrive una vulnerabilità valida, salvo che:

  • venga concordata una tempistica diversa con il segnalatore;
  • una divulgazione anticipata sia necessaria per tutelare gli utenti o il pubblico;
  • il problema sia già oggetto di sfruttamento attivo o divulgazione pubblica;
  • obblighi legali o regolamentari impongano un approccio diverso.

Ove appropriato, il testo della divulgazione sarà coordinato con il segnalatore, al quale verrà riconosciuto il credito previo suo consenso.

3. Protezione per la ricerca in buona fede (safe harbour)

La ricerca di sicurezza in buona fede è benvenuta.

Qualora il segnalatore rispetti la presente Politica e mantenga i propri test entro l'ambito definito alla Sezione 4, i suoi test saranno trattati come autorizzati ai fini dei nostri sistemi e non saranno avviate azioni civili né querele penali nei suoi confronti per tali test.

Tale impegno è volto a ridurre l'incertezza giuridica per la ricerca in buona fede, anche con riferimento alla normativa italiana sull'accesso abusivo a sistemi informatici. Esso non vincola terzi e non preclude azioni richieste dalla legge.

Per beneficiare di tale impegno, il segnalatore deve:

  • agire in buona fede ed evitare di arrecare danno al Servizio, ai suoi utenti e a terzi;
  • testare unicamente i sistemi e le funzionalità inclusi nell'ambito;
  • utilizzare unicamente account di propria titolarità o per i quali disponga di esplicita autorizzazione;
  • accedere, visualizzare o conservare solo le informazioni strettamente necessarie a dimostrare il problema;
  • interrompere immediatamente i test e notificarlo qualora incontri dati personali, segreti, credenziali o dati appartenenti ad altri utenti;
  • non conservare, copiare, divulgare, modificare, cancellare, corrompere o esfiltrare dati;
  • non interrompere né degradare il Servizio;
  • non tentare attacchi di denial-of-service, traffic flooding, test distruttivi, persistenza, distribuzione di malware o movimento laterale;
  • non ricorrere a ingegneria sociale, phishing, coercizione, corruzione, impersonificazione o intrusione fisica;
  • non prendere di mira utenti, personale, collaboratori, fornitori o provider terzi;
  • rispettare la normativa italiana, dell'Unione Europea e locale applicabile.

Le attività al di fuori della presente Politica non sono autorizzate.

4. Ambito dei test

Nell'ambito

Sono nell'ambito:

  • il servizio pubblico FreedivingHome all'indirizzo freedivinghome.com;
  • i sottodomini espressamente indicati come nell'ambito nel file security.txt pubblicato, ove previsti;
  • problemi di autenticazione, autorizzazione, sessione e controllo degli accessi;
  • gestione lato server degli input, degli output e dei caricamenti;
  • vulnerabilità di livello applicativo con impatto dimostrato, incluse falle di controllo degli accessi, di iniezione, cross-site scripting, cross-site request forgery, server-side request forgery, riferimenti diretti a oggetti non sicuri (IDOR) e falle di logica di business.

Fuori ambito

Sono fuori ambito:

  • test di denial-of-service, di stress, di carico o volumetrici;
  • intrusione fisica o a livello di rete;
  • ingegneria sociale, phishing o attacchi mirati a utenti, personale, collaboratori o terzi;
  • test su servizi, infrastrutture, provider o piattaforme di terzi;
  • problemi che riguardano unicamente browser non supportati, dispositivi rooted o jailbroken o reti ostili controllate dal tester;
  • segnalazioni basate unicamente su output di scanner automatici senza impatto dimostrato;
  • self-XSS senza un percorso d'attacco realistico;
  • header di sicurezza mancanti o subottimali senza un percorso di sfruttamento dimostrato;
  • clickjacking o framing senza un'azione sensibile o un impatto dimostrato;
  • osservazioni sui rate limit senza uno scenario di abuso dimostrato;
  • rivendicazioni di enumerazione utenti senza un impatto dimostrato in termini di sicurezza o privacy;
  • problemi di autenticazione email su domini non utilizzati per l'invio di posta;
  • vulnerabilità di terze parti recentemente divulgate già in fase di esame o di remediation;
  • problemi teorici privi di impatto pratico su FreedivingHome o sui suoi utenti.

In caso di dubbio sull'appartenenza all'ambito, si prega di chiedere preventivamente.

5. Postura di sicurezza

Le misure di seguito riportate sono riassunte ad alto livello. I dettagli implementativi specifici sono intenzionalmente omessi dalla presente pagina pubblica.

Autenticazione e accessi

  • Le password sono conservate tramite una funzione di hashing con sale, selezionata e configurata per resistere ad attacchi offline.
  • La verifica dell'indirizzo email è richiesta per l'attivazione dell'account.
  • Ulteriori funzionalità di protezione dell'account possono essere rese disponibili ove supportate.
  • Le operazioni di autenticazione e altre azioni sensibili sono protette da limiti di frequenza e controlli anti-abuso.
  • L'accesso ai sistemi di produzione è limitato a operatori autorizzati, protetto da credenziali individuali e da ulteriori controlli di autenticazione.
  • L'accesso privilegiato è limitato a quanto necessario per esercizio, manutenzione, sicurezza e risposta agli incidenti.

Trasporto e archiviazione

  • Il traffico verso il Servizio è veicolato su TLS.
  • Le richieste HTTP in chiaro sono reindirizzate a HTTPS.
  • I dati riservati e i backup sono protetti a riposo.
  • I segreti sono custoditi al di fuori del controllo di versione e ruotati quando appropriato.

Sicurezza applicativa

  • L'applicazione adotta validazione degli input, codifica degli output, validazione delle richieste e modelli di accesso ai dati sicuri.
  • I file caricati sono soggetti a screening automatizzato anti-malware prima di essere resi disponibili.
  • Una Content-Security-Policy e ulteriori header di sicurezza del browser sono configurati per ridurre i percorsi d'attacco più comuni.
  • Dipendenze e componenti della piattaforma sono monitorate rispetto ad avvisi di sicurezza e aggiornate in base al rischio.

Logging e monitoraggio

  • Gli eventi operativi e di sicurezza sono registrati per supportare rilevamento di abusi, troubleshooting e indagini sugli incidenti.
  • I log sono limitati a quanto necessario per tali finalità.
  • L'accesso ai log è ristretto agli operatori autorizzati.

Backup e ripristino

  • I backup sono cifrati e gestiti separatamente dagli accessi di produzione.
  • L'accesso ai backup è ristretto agli operatori autorizzati.
  • Le procedure di ripristino sono documentate e periodicamente testate in modalità non-produttiva ove praticabile.

Risposta agli incidenti

  • Gli incidenti di sicurezza sono gestiti secondo un processo interno che copre triage, contenimento, conservazione delle prove, remediation, comunicazione e recupero.
  • Ove le soglie di legge siano raggiunte, le notifiche alle autorità di controllo o agli utenti interessati saranno effettuate conformemente alla normativa applicabile, ivi compresi gli articoli 33 e 34 del GDPR ove rilevanti.

6. Riconoscimenti

Previo consenso del segnalatore, è possibile pubblicare il suo nome o pseudonimo per il responsabile rilascio di vulnerabilità valide, precedentemente sconosciute e azionabili.

Il riconoscimento è discrezionale e può essere negato qualora la segnalazione sia abusiva, duplicata, fuori ambito, illecita o non conforme alla presente Politica.

Attualmente non viene operato un programma di bug bounty retribuito. Non sono offerti compensi monetari salvo che ciò sia espressamente concordato per iscritto prima dei test.

7. Informazioni leggibili automaticamente

Un file security.txt leggibile automaticamente è pubblicato all'indirizzo: https://freedivinghome.com/.well-known/security.txt

Il file è veicolato su trasporto cifrato e mantenuto aggiornato. Esso include almeno le informazioni di contatto e di policy pertinenti e può includere campi aggiuntivi quali percorso canonico, scadenza, lingua preferita, cifratura e riconoscimenti, ove operativamente supportati.

In caso di incoerenza tra la presente pagina e il file security.txt, prevale la presente pagina, salvo che l'incoerenza sia chiaramente dovuta a un mancato aggiornamento della pagina stessa.

8. Modifiche alla presente Politica

La presente Politica può essere aggiornata per riflettere mutamenti di natura legale, operativa o di sicurezza.

Gli aggiornamenti sostanziali saranno datati e riassunti nella presente pagina ove praticabile.

9. Contatto

[email protected]