Politica di Divulgazione delle Vulnerabilità

Versione: 2026-03-11

1. Scopo e Ambito di Applicazione

1.1. AtroCore GmbH (di seguito denominata anche la Società) si impegna a mantenere la sicurezza dei propri prodotti software, dei servizi di piattaforma e dei sistemi interni. La sicurezza dei dati affidatici dai nostri clienti, partner e utenti è di primaria importanza.

1.2. La presente Politica di Divulgazione delle Vulnerabilità (PDV) stabilisce un processo trasparente e strutturato che consente a ricercatori di sicurezza esterni, clienti, partner e membri del pubblico (di seguito denominati Segnalatori) di notificare in modo responsabile vulnerabilità di sicurezza sospette o confermate che interessano i prodotti e i sistemi di AtroCore.

1.3. La presente politica si applica a tutti i software, servizi, API e infrastrutture gestiti o mantenuti da AtroCore GmbH, inclusi, a titolo non esaustivo:

  • La piattaforma AtroCore e la relativa API REST
  • Le interfacce Import/Export Feed
  • Gli ambienti SaaS ospitati da AtroCore
  • I siti web e le applicazioni web pubblici di AtroCore

1.4. La presente politica non si applica alle vulnerabilità presenti in software o servizi di terze parti che AtroCore non sviluppa né controlla, anche qualora tali software vengano utilizzati in connessione con i prodotti AtroCore. Si incoraggia i Segnalatori a notificare tali problemi direttamente al fornitore di riferimento.

2. I Nostri Impegni

2.1. AtroCore GmbH si impegna a collaborare in buona fede con i ricercatori di sicurezza e con la più ampia comunità della sicurezza informatica. In cambio di una divulgazione responsabile conforme alla presente politica, AtroCore assume i seguenti impegni:

2.2. La Società accuserà ricevuta di un rapporto di vulnerabilità entro 5 giorni lavorativi dalla sua ricezione.

2.3. La Società indagherà tempestivamente su tutte le vulnerabilità segnalate e terrà il Segnalatore informato sull'avanzamento dell'indagine, nei limiti consentiti da considerazioni di riservatezza e di natura legale.

2.4. La Società non intraprenderà azioni legali nei confronti dei Segnalatori che scoprano e segnalino vulnerabilità in buona fede e nel rispetto della presente politica.

2.5. La Società tratterà tutti i rapporti presentati con riservatezza e non condividerà le informazioni personali del Segnalatore con terze parti senza il suo esplicito consenso, salvo ove richiesto dalla legge.

2.6. La Società si adopererà per rimediare alle vulnerabilità confermate entro i termini stabiliti nella Sezione 6 della presente politica e notificherà al Segnalatore il completamento della correzione.

3. Linee Guida per la Divulgazione Responsabile

3.1. I Segnalatori sono tenuti ad agire in buona fede e a condurre la propria attività di ricerca in modo da non arrecare danno ad AtroCore, ai suoi clienti né ad alcuna persona i cui dati possano essere coinvolti.

3.2. Nel corso dell'analisi di una potenziale vulnerabilità, i Segnalatori non devono:

  • Accedere, modificare, eliminare o esfiltrare dati appartenenti ad AtroCore o ai suoi clienti oltre quanto strettamente necessario per dimostrare l'esistenza della vulnerabilità
  • Eseguire attacchi di tipo denial-of-service o qualsiasi altra azione che degradi la disponibilità o le prestazioni dei sistemi di AtroCore
  • Introdurre malware, backdoor o qualsiasi altro codice malevolo nei sistemi di AtroCore
  • Condurre attacchi di ingegneria sociale nei confronti di dipendenti, collaboratori o clienti di AtroCore
  • Divulgare informazioni su una vulnerabilità a terze parti o pubblicamente prima che AtroCore abbia avuto una ragionevole opportunità di indagarla e porvi rimedio
  • Utilizzare strumenti di scansione automatizzata in ambienti di produzione senza previa approvazione scritta da parte di AtroCore

3.3. I Segnalatori che rispettano la presente politica saranno considerati come soggetti che hanno agito in buona fede, e AtroCore non intraprenderà azioni legali nei loro confronti in relazione alle loro attività di ricerca.

3.4. AtroCore incoraggia i Segnalatori a utilizzare ambienti di test o di staging dedicati, ove disponibili, per le attività di ricerca sulla sicurezza. Se un Segnalatore non è sicuro che una particolare attività di test sia consentita, deve contattare AtroCore prima di procedere.

4. Come Segnalare una Vulnerabilità

4.1. Le vulnerabilità di sicurezza devono essere segnalate al Team di Sicurezza delle Informazioni di AtroCore inviando un'e-mail al Responsabile della Protezione dei Dati all'indirizzo con oggetto: "Segnalazione Vulnerabilità – [breve descrizione]".

4.2. Per consentire ad AtroCore di valutare e rispondere al rapporto in modo efficiente, si chiede ai Segnalatori di includere, ove possibile, le seguenti informazioni:

  • Una descrizione chiara e concisa della vulnerabilità, inclusa la sua tipologia (es. SQL injection, controllo degli accessi non corretto, divulgazione di informazioni)
  • Il prodotto, servizio o sistema interessato, inclusi i numeri di versione ove noti
  • Una descrizione passo per passo di come riprodurre la vulnerabilità
  • L'impatto potenziale della vulnerabilità, inclusi i dati o le funzionalità che potrebbero essere compromessi
  • Eventuali prove a supporto, come screenshot, codice proof-of-concept o acquisizioni di richieste/risposte HTTP
  • I recapiti del Segnalatore, nel caso in cui AtroCore debba effettuare un follow-up

4.3. I rapporti possono essere presentati in inglese, tedesco o italiano.

4.4. AtroCore non gestisce attualmente un programma di bug bounty. I rapporti di vulnerabilità sono accettati su base volontaria e senza compenso economico, salvo diverso accordo esplicito in forma scritta.

5. Classificazione della Gravità

5.1. Alla ricezione di un rapporto, AtroCore valuterà la gravità della vulnerabilità segnalata utilizzando la seguente classificazione:

Critica si riferisce a vulnerabilità che consentono l'accesso non autorizzato a dati personali sensibili o dati riservati dei clienti, l'esecuzione remota di codice, la compromissione totale del sistema o qualsiasi problema che possa comportare una violazione dei dati personali ai sensi dell'Articolo 33 del GDPR.

Alta si riferisce a vulnerabilità che consentono un accesso non autorizzato significativo a sistemi o dati, l'escalation dei privilegi o l'elusione dei principali controlli di autenticazione o autorizzazione.

Media si riferisce a vulnerabilità che presentano un rischio di sicurezza rilevante ma che richiedono condizioni specifiche o l'interazione dell'utente per essere sfruttate, oppure che hanno un impatto limitato sulla riservatezza, integrità o disponibilità dei dati.

Bassa si riferisce a vulnerabilità con un'esploitabilità o un impatto minimi, inclusi problemi informativi, configurazioni errate di entità minore o risultati che presentano un rischio teorico piuttosto che pratico.

6. Tempi di Rimediazione

6.1. AtroCore si impegna a correggere le vulnerabilità confermate entro i seguenti termini obiettivo, calcolati dalla data in cui la vulnerabilità viene confermata:

Le vulnerabilità di gravità critica saranno affrontate entro 72 ore.

Le vulnerabilità di gravità alta saranno affrontate entro 7 giorni di calendario.

Le vulnerabilità di gravità media saranno affrontate entro 30 giorni di calendario.

Le vulnerabilità di gravità bassa saranno affrontate entro 90 giorni di calendario.

6.2. Qualora la rimediazione entro i suddetti termini non sia tecnicamente o operativamente fattibile, AtroCore notificherà al Segnalatore il ritardo, ne spiegherà le ragioni e fornirà una nuova data obiettivo.

6.3. Nei casi in cui una vulnerabilità sia stata confermata come Critica e comporti un rischio per i dati personali, AtroCore seguirà inoltre le procedure di risposta alle violazioni stabilite nella Politica di Violazione dei Dati Personali di AtroCore e, ove richiesto, notificherà all'autorità di controllo competente entro 72 ore, conformemente all'Articolo 33 del GDPR.

7. Divulgazione Coordinata

7.1. AtroCore segue un approccio di divulgazione coordinata. Ciò significa che i dettagli delle vulnerabilità non saranno resi pubblici fino a quando non sarà disponibile una correzione o fino allo scadere di un calendario di divulgazione concordato.

7.2. AtroCore chiede ai Segnalatori di astenersi dal pubblicare o condividere i dettagli di una vulnerabilità segnalata per un periodo di almeno 90 giorni di calendario dalla data di presentazione del rapporto iniziale, al fine di disporre di tempo sufficiente per l'indagine e la rimediazione.

7.3. Qualora AtroCore non sia in grado di correggere una vulnerabilità entro 90 giorni, la Società si impegnerà in buona fede con il Segnalatore per concordare un calendario di divulgazione esteso appropriato.

7.4. AtroCore potrà, con il consenso del Segnalatore, riconoscere pubblicamente il contributo del Segnalatore a seguito della correzione della vulnerabilità segnalata.

8. Questioni Escluse dall'Ambito

8.1. Le seguenti categorie di problemi sono considerate escluse dall'ambito della presente politica e, in generale, non saranno accettate come rapporti di vulnerabilità validi:

  • Vulnerabilità in software, librerie o servizi di terze parti non sotto il controllo di AtroCore
  • Problemi che richiedono l'accesso fisico a un dispositivo o sistema
  • Attacchi di ingegneria sociale o phishing rivolti al personale di AtroCore
  • Attacchi di tipo denial-of-service o risultati derivanti da tali attacchi
  • Vulnerabilità teoriche prive di un percorso di sfruttamento dimostrato o plausibile
  • Header di sicurezza mancanti o problemi di configurazione TLS su endpoint non sensibili in cui il rischio è trascurabile
  • Rapporti generati da strumenti di scansione automatizzata senza analisi aggiuntiva o prova di sfruttabilità
  • Problemi relativi a versioni software che hanno raggiunto la fine del ciclo di vita e non sono più supportate da AtroCore

9. Revisione della Politica

9.1. La presente politica sarà revisionata almeno annualmente, o a seguito di qualsiasi incidente di sicurezza significativo, cambiamento sostanziale nel panorama dei prodotti o dell'infrastruttura di AtroCore, o modifiche rilevanti alla normativa applicabile dell'UE o tedesca.

9.2. Il Responsabile della Protezione dei Dati è responsabile del mantenimento e dell'aggiornamento della presente politica e deve essere consultato in qualsiasi revisione che riguardi il trattamento dei dati personali.

Per segnalazioni di vulnerabilità e richieste di sicurezza, contattare: