Condizioni e informative
Policy di divulgazione responsabile di Catawiki

Ti ringraziamo per aver dedicato del tempo alla partecipazione al nostro Programma di divulgazione responsabile. 

Noi di Catawiki consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Nello sviluppo e nella fornitura dei nostri servizi, la sicurezza assume un ruolo fondamentale.

Di seguito sono riportate le nostre linee guida per inviare a Catawiki segnalazioni di bug rilevanti, in modo da permetterci di risolverli in modo efficace.

Le risorse su cui abbiamo il controllo includono https://www.catawiki.com o pagine derivate dall’accesso al sito online https://www.catawiki.com. NON sono comprese le applicazioni di terze parti di cui ci avvaliamo, ma che non controlliamo direttamente. Ad esempio, vulnerabilità di qualsiasi sito web di blogging, di lavoro o di marketing che non sia ospitato con il dominio Catawiki, GCP o altre piattaforme cloud.


Cosa è utile fare

  • Inviare una segnalazione di vulnerabilità pertinenti al nostro sito web con punteggio CVE, se disponibile, indicando in che modo potrebbero essere sfruttate.
  • Includere video e foto nel tuo resoconto, sono molto utili!
  • Inviare esempi di come sia possibile caricare file dannosi sulla nostra piattaforma.
  • Inviare segnalazioni di porte o servizi di rete vulnerabili.
  • Segnalare vulnerabilità in cui la convalida, CSRF o altro, non riesce a consentire l’aggiramento o l’elusione dei controlli di sicurezza.


Cosa non fare

  • Non inviare vulnerabilità segnalate da strumenti o scanner di terze parti senza una prova concreta dell’avvenuto sfruttamento.
  • Non inviare vulnerabilità legate alle password attaccabili con metodi brute force, dictionary attack o altre tecniche per indovinare le password.
  • Non tentare attacchi DDoS o altri attacchi che comportino un sovraccarico delle risorse.
  • Non tentare attacchi di spam, a meno che la vulnerabilità non preveda la possibilità di inviare facilmente spam.
  • Non inviare vulnerabilità associate alla verifica degli account o alle norme sulle password.
  • Non inviare vulnerabilità associate a un attacco Self-XSS.
  • Non inviare vulnerabilità associate a un elemento CAA (Certificate Authority Authorization) mancante per un nome di dominio Catawiki.

Nel caso in cui tu non abbia rispettato il nostro codice di condotta di cui sopra, Catawiki si riserva il diritto di intraprendere azioni legali nei tuoi confronti. Questo codice di condotta per la notifica delle vulnerabilità di sicurezza di Catawiki è soggetto alla legge olandese.

Inoltre, ti invitiamo a non utilizzare la piattaforma BugCrowd per domande o reclami relativi ai servizi di Catawiki o al materiale degli utenti sulla piattaforma. In caso di domande o reclami non attinenti alla vulnerabilità della sicurezza dei nostri sistemi, ti invitiamo a consultare il nostro Centro Assistenza e, se necessario, a contattare i nostri team del Servizio Clienti.

Per partecipare al nostro Programma di divulgazione responsabile, ti invitiamo ad accedere o creare un account hacker su BugCrowd.


Protezione dei dati

Il Programma di divulgazione responsabile è soggetto all’Informativa sulla privacy di Catawiki. Tuttavia, ricordiamo che il trattamento dei dati personali per le segnalazioni effettuate è limitato. Catawiki si avvale di BugCrowd per facilitare la segnalazione di vulnerabilità, che può essere effettuata utilizzando le credenziali personali su BugCrowd. Se disponi di un account, Catawiki potrà vedere il tuo nome utente, ma nessun altro dato personale legato al tuo account. Tutti i dati inclusi in una segnalazione di vulnerabilità saranno elaborati nel nostro sistema interno per la gestione dei ticket e saranno accessibili al nostro team dedicato alla sicurezza e al personale tecnico interessato. 

Questo articolo ti è stato utile?
Contattaci