Condizioni quadro e regole

La scoperta e la segnalazione di vulnerabilità può avere conseguenze civili e penali. I rischi associati possono essere ridotti se osserva le seguenti regole:

Quando contattate l’UFCS per segnalare una falla di sicurezza
(«coordinated vulnerability disclosure», CVD):

• durante il processo di segnalazione, discutete della lacuna individuata soltanto con il produttore interessato, il proprietario del sistema e l'UFCS;
• non rendete pubblica la falla fino a quando alle parti interessate non sia stato concesso il tempo necessario per porvi rimedio oppure fino a quando non sarete d’accordo sulla soluzione proposta con le parti coinvolte, compreso l'UFCS;
• dopo aver segnalato la falla all’UFCS, non interagite ripetutamente con il sistema interessato durante il processo;
• non sfruttate le vulnerabilità per scaricare, modificare o cancellare dati oltre lo stretto indispensabile per fornire una prova di fattibilità;
• non tentate di acquisire diritti o di esplorare il sistema oltre lo stretto necessario per fornire una prova di fattibilità;
• non trafugate dati di altri utenti, usate solamente il vostro account per eseguire dei test;
• non tentate di ottenere l’accesso a un sistema con metodi forza bruta («brute force») o tecniche di ingegneria sociale;
• non ricorrete ad attacchi DoS («denial of service»);
• non installate malware o virus;
• se possibile, specificate nella segnalazione a quale indirizzo IP eravate connessi nel momento in cui avete scoperto la vulnerabilità. In questo modo sarà più facile valutare eventuali exploit e ridurre i falsi positivi durante i test;
• comunicate le vostre intenzioni all'UFCS se desiderate rendere noto pubblicamente ciò che avete scoperto (avvertenza, conferenza, articolo, ecc.).
  

Cosa dovete attendervi dal nostro programma CVD:

• se la falla di sicurezza nei sistemi della Confederazione viene segnalata seguendo le regole prestabilite di cui sopra e l’autore della segnalazione agisce in buona fede, né con intento fraudolento né con l’intenzione di nuocere, l'UFCS non intraprenderà alcuna azione civile o penale nei suoi confronti;
• le vulnerabilità possono essere segnalate all’UFCS in forma anonima;
• l’UFCS tratta le segnalazioni in modo confidenziale e, senza previo consenso, non condivide i dati personali degli autori delle segnalazioni o delle organizzazioni interessate;
• previo consenso, l’UFCS menziona il nome della persona che ha individuato la falla di sicurezza;
• l’autore della segnalazione riceve una conferma di ricezione entro tre giorni lavorativi. L'UFCS tratta il rapporto entro cinque giorni lavorativi;
• se la vulnerabilità ha un impatto sulla Confederazione, l’UFCS cerca di coordinare una soluzione entro 60 giorni dalla segnalazione;
• a seconda dell’organizzazione coinvolta e della natura della vulnerabilità identificata, l’UFCS informa l’organizzazione interessata in merito alla vulnerabilità. Tuttavia, il proprietario del sistema informatico rimane responsabile del sistema e delle potenziali correzioni;
• se possibile, l’UFCS informa le parti coinvolte sui progressi e sulla soluzione prevista;
• l’UFCS coordina un’eventuale pubblicazione della CVE con tutte le parti coinvolte;
• al momento, il programma CVD dell’UFCS non offre alcuna ricompensa a chi effettua la segnalazione.