Security Disclosures
Ultimo aggiornamento: 1 Giugno 2026. Questa pagina descrive le misure di sicurezza adottate da Privion, la nostra politica di divulgazione responsabile delle vulnerabilità (Responsible Disclosure) e le istruzioni per segnalare incidenti di sicurezza.
AES-256 Encryption
Dati cifrati a riposo e in transito con TLS 1.3.
SOC 2 Compliant
Audit annuale da parte di terze parti indipendenti.
Pentest Annuale
Test di penetrazione eseguiti da ethical hacker certificati.
24/7 Monitoring
Monitoraggio continuo di anomalie e threat intelligence.
Responsible Disclosure Policy
Privion incoraggia la comunità di sicurezza a segnalare responsabilmente qualsiasi vulnerabilità scoperta nei nostri sistemi. Ci impegniamo a rispondere prontamente e a collaborare per risolvere i problemi segnalati.
Safe Harbor: I ricercatori che segnalano vulnerabilità in buona fede e seguono questa policy non saranno soggetti ad azioni legali da parte di Privion.
Processo di Divulgazione
Seguiamo un processo strutturato dalla segnalazione alla risoluzione:
Segnalazione Giorno 0
Invia la vulnerabilità a info@privion.it con tutti i dettagli tecnici necessari per la riproduzione.
Conferma di Ricezione Entro 24h
Il nostro team di sicurezza accuserà ricevuta della segnalazione e aprirà un ticket privato.
Analisi e Triage Entro 5 giorni
Valuteremo la gravità (CVSS), la reproducibilità e l'impatto. Ti terremo aggiornato sull'avanzamento.
Risoluzione Entro 90 giorni
Rilasceremo una patch per le vulnerabilità critiche entro 7 giorni, quelle di media gravità entro 90 giorni.
Divulgazione Pubblica Coordinata
Coordineremo la pubblicazione del CVE e accrediteremo il ricercatore nel nostro Hall of Fame (se desiderato).
Scope del Programma
Le seguenti asset sono in scope per il nostro programma di Responsible Disclosure:
| Target | Tipo | Scope |
|---|---|---|
| api.privion.it | API REST principale | ✓ IN SCOPE |
| app.privion.it | Dashboard Web | ✓ IN SCOPE |
| auth.privion.it | Identity Provider | ✓ IN SCOPE |
| privion.it | Sito Istituzionale | ✓ IN SCOPE |
| Infrastruttura cloud di terzi (AWS/GCP) | Provider | ✗ OUT OF SCOPE |
| Attacchi di Social Engineering | — | ✗ OUT OF SCOPE |
| DoS / DDoS | — | ✗ OUT OF SCOPE |
Misure di Sicurezza Implementate
- Autenticazione: MFA obbligatoria, rotazione automatica delle API Key RSA, supporto SAML 2.0 e OIDC.
- Autorizzazione: Principio del minimo privilegio, RBAC granulare per ogni operazione amministrativa.
- Network: WAF enterprise, rate limiting adattivo, IP allowlisting per API Key sensibili.
- Codice: SAST/DAST integrati nella CI/CD pipeline, code review obbligatoria per ogni merge.
- Infrastruttura: Hardening CIS Level 2, patch management automatizzato, segmentazione di rete rigorosa.
- Incident Response: Piano di risposta agli incidenti testato quadrimestralmente con esercitazioni tabletop.
- Backup: Backup cifrati giornalieri con verifica di integrità e test di ripristino mensile.
Segnalazione Sicura via PGP
Per segnalazioni che richiedono riservatezza, puoi cifrare il tuo messaggio con la nostra chiave PGP pubblica prima di inviare all'indirizzo info@privion.it.
Version: Privion Security Team <info@privion.it>
mQINBGXkT7IBEADC4n5PvwJK9qmZ1Bv8/EXAMPLE_KEY_PLACEHOLDER
/THIS_IS_A_PLACEHOLDER_NOT_A_REAL_KEY_DO_NOT_USE/
=XXXX
-----END PGP PUBLIC KEY BLOCK-----
Fingerprint: AB12 CD34 EF56 7890 ABCD EF12 3456 7890 ABCD EF12
Riconoscimenti
Privion riconosce pubblicamente i ricercatori che ci aiutano a migliorare la sicurezza della piattaforma. I ricercatori accreditati vengono inseriti nel nostro Security Hall of Fame.
Per vulnerabilità di classe critica (RCE, SQLi, Auth Bypass), offriamo riconoscimenti economici discrezionali in funzione della gravità e dell'impatto sulla piattaforma.
Hai trovato una vulnerabilità?
Segnalacela responsabilmente. Il nostro team di sicurezza risponderà entro 24 ore lavorative.
info@privion.it