1. Obiettivo politico

LuxpowerTek si impegna a fornire prodotti e servizi sicuri e affidabili ai propri clienti in tutto il mondo. Incoraggiamo ricercatori, partner e clienti in materia di sicurezza a segnalare potenziali vulnerabilità tramite pratiche di divulgazione responsabile, consentendoci di affrontare e mitigare tempestivamente i rischi.

2. Processo di segnalazione

Per inviare una segnalazione di vulnerabilità, utilizzare i seguenti canali:

Email

sicurezza@luxpowertek.com (Si consiglia la crittografia PGP)

Modulo online/Portale di sicurezza

I dettagli di qualsiasi portale di sicurezza dedicato saranno annunciati separatamente

Si prega di includere le seguenti informazioni nel rapporto:

  • Modello del prodotto interessato e versione firmware/software
  • Descrizione dettagliata della vulnerabilità e passaggi per riprodurla (o Proof of Concept)
  • Analisi del potenziale impatto
  • Informazioni di contatto per comunicazioni di follow-up

SUGGERIMENTI:

Per garantire una divulgazione responsabile, si prega di astenersi dal divulgare pubblicamente la vulnerabilità finché non sarà stata rilasciata una correzione ufficiale.

3. Ambito dei test di sicurezza e limiti di conformità

Attività di test consentite

  • Test del dispositivo locale
  • Analisi della comunicazione di rete
  • Configurazione e convalida dei permessi

Attività proibite❌

  • Accesso non autorizzato o furto dei dati degli utenti
  • Sfruttamento delle vulnerabilità che causano interruzioni o danni al servizio
  • Attacchi di scansione su larga scala o di negazione del servizio mirati agli ambienti di produzione

4. Processo e tempi di risposta alle vulnerabilità

LuxpowerTek aderisce alle migliori pratiche internazionali e ha stabilito un processo di risposta standardizzato per la gestione delle vulnerabilità:

  1. Riconoscimento: Entro 5 giorni lavorativi dal ricevimento del rapporto, confermeremo la ricezione.
  2. Validazione e valutazione: Il nostro team di sicurezza convaliderà la vulnerabilità e ne valuterà il livello di rischio utilizzando lo standard CVSS v3.1.
  3. Piano di bonifica: A seconda della gravità, svilupperemo un piano di correzione o di mitigazione.
  4. Comunicazione: Resteremo in contatto con il reporter durante tutto il processo, richiedendo ulteriori informazioni se necessario.
  5. Divulgazione pubblica osure: Una volta risolta la questione, verrà pubblicato un avviso sulla vulnerabilità nel nostro bollettino sulla sicurezza, con avviso al ricercatore se è stato fornito il consenso.

La tipica tempistica di risoluzione e divulgazione è 90–120 giorni, con vulnerabilità critiche prioritarie per una gestione rapida.

5. Classificazione della gravità della vulnerabilità

Le vulnerabilità sono classificate in base allo standard CVSS v3.1 come segue:

Basso (0,1–3,9)

Impatto minimo, risolto nelle iterazioni successive.

Medio (4,0–6,9)

Impatto limitato, risolto tramite aggiornamenti software di routine.

Alto (7,0–8,9)

Vulnerabilità ad alto impatto prioritarie per una risoluzione immediata.

Critico (9.0–10.0)

Rimedio immediato con rilascio urgente di patch.

6. Avviso

Principi di divulgazione coordinata

LuxpowerTek aderisce a un malattie cardiovascolari(Divulgazione coordinata delle vulnerabilità) modello per garantire che le vulnerabilità non vengano divulgate pubblicamente prima del rilascio di una patch.

Ai ricercatori viene richiesto di fornire una finestra di bonifica ragionevole, in genere 90 giorni, per facilitare una risoluzione tempestiva.

Esenzione legale

A condizione che i test di vulnerabilità e la divulgazione siano condotti in conformità con questa politica, LuxpowerTek non intraprenderà azioni legali contro i ricercatori e considererà tali attività come ricerca sulla sicurezza in buona fede.

Disclaimer

Questa politica potrebbe essere aggiornatad per riflettere gli sviluppi del settore e i requisiti legali. LuxpowerTek non si assume alcuna garanzia o responsabilità per eventuali perdite dirette o indirette derivanti dalla divulgazione di vulnerabilità o da ritardi nella correzione.