Norme per la segnalazione di vulnerabilità

Per noi di Salesforce, la fiducia è il primo valore in assoluto e prendiamo molto sul serio la protezione dei dati dei nostri clienti.

Il team addetto alla sicurezza di Salesforce riconosce il ruolo importante svolto dai ricercatori di sicurezza indipendenti per la sicurezza in Internet. Di conseguenza, incoraggiamo la segnalazione responsabile di qualsiasi vulnerabilità che potrebbe essere riscontrata nel nostro sito o nelle nostre applicazioni. Salesforce collabora con i ricercatori di sicurezza per verificare e affrontare qualsiasi potenziale vulnerabilità che ci viene segnalata.

Si prega di rivedere questi termini prima di testare e/o segnalare una vulnerabilità. Salesforce si impegna a non intentare azioni legali nei confronti dei ricercatori che penetrano o tentano di penetrare nei nostri sistemi, purché tali ricercatori rispettino le presenti norme.

Verifica delle vulnerabilità di sicurezza:

Ogniqualvolta venga resa disponibile una Trial Edition o una Developer Edition, si prega di condurre tutte le verifiche di vulnerabilità in queste istanze. Utilizzare sempre account di prova o demo quando si testano i nostri servizi online.

Segnalazione di potenziali vulnerabilità di sicurezza:

  • Comunicare privatamente a Salesforce i dettagli di una sospetta vulnerabilità inviando un'email a security@salesforce.com
  • Fornire i dettagli completi della sospetta vulnerabilità in modo che il team addetto alla sicurezza di Salesforce possa convalidare e riprodurre il problema

Salesforce non consente i seguenti tipi di ricerche di sicurezza:

Se da un lato vi invitiamo a individuare e a segnalare eventuali vulnerabilità rilevate in modo responsabile, è fatto espressamente divieto:

  • Eseguire azioni che potrebbero avere un impatto negativo su Salesforce o sui suoi utenti (ad es. spam, attacchi di tipo Brute Force o di tipo Denial of Service…)
  • Accedere, o tentare di accedere, a dati o informazioni appartenenti ad altri
  • Distruggere o danneggiare, o tentare di distruggere o danneggiare, dati o informazioni appartenenti ad altri
  • Condurre qualsiasi tipo di attacco fisico o elettronico diretto al personale, alle proprietà o ai centri dati di Salesforce
  • Utilizzare tecniche di ingegneria sociale con qualsiasi addetto all'assistenza, dipendente o collaboratore esterno di Salesforce
  • Condurre verifiche di vulnerabilità di servizi partecipanti utilizzando sistemi diversi dagli account di prova (ovvero istanze Developer Edition o Trial Edition)
  • Violare leggi o accordi per individuare le vulnerabilità

L'impegno del team di sicurezza di Salesforce:

Chiediamo di non condividere o pubblicizzare una vulnerabilità non risolta con terze parti. Se viene inviata responsabilmente una segnalazione relativa a una vulnerabilità, il team addetto alla sicurezza di Salesforce e le organizzazioni di sviluppo associate metteranno in atto qualsiasi sforzo ragionevole per:

  • Rispondere in modo tempestivo, confermando la ricezione della segnalazione di tale vulnerabilità
  • Fornire una stima della tempistica con cui la segnalazione della vulnerabilità verrà presa in esame
  • Avvisarvi quando la vulnerabilità è stata risolta

Ringraziamo ogni singolo ricercatore che invia una segnalazione di vulnerabilità permettendoci di migliorare il piano di sicurezza complessivo di Salesforce.

Security Research Contributors