Politica di divulgazione responsabile

La sicurezza dei dati degli utenti è una priorità per Sprout Social. Invitiamo chiunque scopra potenziali vulnerabilità di sicurezza in un servizio Sprout Social a comunicarcelo in modo responsabile. La presente Politica di divulgazione responsabile delinea i passaggi per la segnalazione delle vulnerabilità, cosa aspettarsi e cosa ci si può aspettare da noi.

Il nostro impegno nei tuoi confronti

Per tutte le persone che segnalano vulnerabilità sospette in linea con la presente Politica di divulgazione responsabile, Sprout Social si impegna a:

  • Mantenere la riservatezza nei tuoi confronti

  • Confermerà tempestivamente la ricezione del report

  • Valutare la validità della segnalazione, la gravità e l'impatto

  • Comunicherà quando la vulnerabilità è stata risolta

  • Riconoscerà pubblicamente il contributo fornito, se la persona lo desidera

Ambito, linee guida ed esclusioni

Sprout Social collabora con Bugcrowd per il nostro Programma di divulgazione delle vulnerabilità (“PDV”). Le risorse in questo ambito sono disponibili nella sezione Ambito della pagina Bugcrowd VDP di Sprout Social.

L'utente può verificare la presenza di vulnerabilità di sicurezza solo utilizzando un account del quale è il proprietario o un agente autorizzato a condurre tali test.

Tutti i test devono essere condotti in conformità con la presente Politica di divulgazione responsabile, i Termini di servizio di Sprout Social, i Termini di divulgazione standard di Bugcrowd e tutte le leggi applicabili.

Sprout Social vieta i seguenti tipi di ricerca e test:

  • L'accesso o il tentativo di accedere intenzionalmente a dati che non appartengono all'utente

  • L'esecuzione, o il tentativo di esecuzione, di un attacco Denial of Service (DoS/DDoS) o di stress test dell'applicazione, dei sistemi o delle reti

  • L'invio o il tentativo di inviare e-mail non richieste o non autorizzate, spam o altri tipi di messaggi indesiderati

  • L'esecuzione di ricerche tramite ingegneria sociale o altri mezzi ingannevoli (ad esempio phishing, vishing, smishing, manipolazione dei link)

  • Eseguire test su siti, applicazioni o servizi di terze parti integrate con Sprout Social

  • Pubblicare, trasmettere, caricare, collegare, inviare o archiviare intenzionalmente malware, virus o software dannosi similari

  • La conduzione di qualsiasi forma di test di sicurezza o controllo delle sedi fisiche, inclusi, a titolo esemplificativo, gli uffici, i data center e le strutture di Sprout Social

  • Ricerche effettuate da minori, da soggetti registrati negli elenchi di sanzioni o da soggetti di paesi presenti negli elenchi di sanzioni

  • Qualsiasi attività vietata dai Termini di divulgazione standard di Bugcrowd

Esclusione di responsabilità

Sprout Social si riserva tutti i propri diritti legali in caso di mancato rispetto della presente Politica di responsabilità dei dati, ma non intende intraprendere azioni legali contro le parti che conducono ricerche sulla sicurezza e divulgano presso di noi informazioni in buona fede, come documentato nella presente Politica.

Come inviare segnalazioni sulle vulnerabilità

Comunica tutte le vulnerabilità sospette tramite il nostro PDV di Bugcrowd all'indirizzo https://bugcrowd.com/sproutsocial.

Le vulnerabilità sospette segnalate con altri mezzi, ad esempio tramite e-mail, social media o una piattaforma di bug bounty diversa da Bugcrowd, non saranno accettate.

Quando segnali delle potenziali vulnerabilità, includi informazioni sufficienti per consentirci di riprodurre i passaggi che hai seguito.

Per proteggere la privacy e la sicurezza dei nostri utenti:

  • Non divulgare pubblicamente i dettagli di eventuali vulnerabilità sospette eventualmente identificate senza l'esplicito consenso scritto di Sprout Social.

  • Subito dopo aver inviato la segnalazione, elimina/distruggi tutte le copie locali o memorizzate nella cache dei dati a cui potresti aver avuto accesso o aver ricevuto durante il test.

Premi/ricompense

Potresti avere diritto a una ricompensa se sei la prima persona a segnalare una vulnerabilità specifica, se la vulnerabilità è convalidata dal team di sicurezza di Sprout Social e se hai rispettato tutti i termini, le regole e le restrizioni indicati. La disponibilità di eventuali premi o ricompense è a esclusiva discrezione di Sprout Social e la distribuzione avviene esclusivamente attraverso la piattaforma Bugcrowd. Sprout Social non fornisce alcuna garanzia, esplicita o implicita, che verranno offerti premi o ricompense. Per ulteriori informazioni, visita la nostra pagina Bugcrowd all'indirizzo https://bugcrowd.com/sproutsocial.