Politique de sécurité
Contatto: https://github.com/Cap-go/capgo/security/advisories/new
Canónico: https://capgo.app/security.txt
Chez Capgo, nous considérons la sécurité de nos systèmes comme une priorité absolue. Cependant, peu importe les efforts que nous déployons pour sécuriser nos systèmes, des vulnérabilités peuvent encore être présentes.
Si descubres una vulnerabilidad, nos gustaría saberlo para que podamos tomar medidas para abordarla lo más rápido posible. Nos gustaría pedirte que nos ayudes a proteger mejor a nuestros clientes y nuestros sistemas.
Vulnerabilidades fuera de alcance:
- Clickjacking su pagine senza azioni sensibili.
- CSRF de cierre de sesión/inicio de sesión no autenticado.
- Attacks requiring MITM or physical access to a user's device.
- Attacchi che richiedono ingegneria sociale.
- Cada actividad que podría llevar a la interrupción de nuestro servicio (DoS).
- Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
- Email spoofing
- Mancanza di DNSSEC, CAA, intestazioni CSP
- Mancanza del flag Sicuro o HTTP solo su cookie non sensibili
- Link morti
- Enumeración de usuarios
Linee guida per il testing:
- No ejecuten escáneres automáticos en otros proyectos de clientes. Ejecutar escáneres automáticos puede aumentar los costos para nuestros usuarios. Los escáneres configurados de manera agresiva podrían interrumpir servicios inadvertidamente, explotar vulnerabilidades, llevar a inestabilidad del sistema o brechas y violar los Términos de Servicio de nuestros proveedores upstream. Nuestros propios sistemas de seguridad no podrán distinguir entre reconocimiento hostil e investigación de whitehat. Si desean ejecutar un escáner automático, notifíquenos a security@capgo.app y solo ejecútelo en su propio proyecto de Capgo. NO ataquen proyectos de otros clientes.
- Non approfittare della vulnerabilità o del problema che hai scoperto, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellando o modificando i dati di altre persone.
Linee guida per la segnalazione:
Linee guida per la divulgazione:
- Al fine di proteggere i nostri clienti, non rivelare il problema ad altri fino a quando non abbiamo ricercato, affrontato e informato i nostri clienti coinvolti.
- Si deseas compartir públicamente tu investigación sobre Capgo en una conferencia, en un blog o en cualquier otro foro público, deberías compartir un borrador con nosotros para su revisión y aprobación al menos 30 días antes de la fecha de publicación. Por favor, ten en cuenta que lo siguiente no debe ser incluido:
- Datos sobre cualquier proyecto de cliente de Capgo
- Dati dei clienti di Capgo
- Informasi tentang karyawan, kontraktor, atau mitra Capgo
Cosa promettiamo:
- Nous répondrons à votre rapport dans les 7 jours ouvrables avec notre évaluation du rapport et une date de résolution prévue.
- Si vous avez suivi les instructions ci-dessus, nous ne prendrons aucune action légale contre vous concernant le rapport.
- Tratteremo il tuo report con massima riservatezza e non passeremo i tuoi dati personali a terzi senza il tuo permesso.
- Ti teremo informato sui progressi nella risoluzione del problema.
- Nella comunicazione pubblica riguardante il problema segnalato, forniremo il tuo nome come scopritore del problema (a meno che tu non desideri diversamente).
Nos esforzamos por resolver todos los problemas lo más rápido posible y nos gustaría desempeñar un papel activo en la publicación final sobre el problema una vez que se haya resuelto.