ClaresiaTrust
Coordinated disclosure

Vulnerability disclosure e bug bounty

Claresia accoglie con favore la ricerca di sicurezza e premia le segnalazioni di vulnerabilità qualificate. Il programma pubblico Bugcrowd / HackerOne apre nel Q3 2026; fino ad allora, segnali direttamente a security@claresia.com nell'ambito della nostra Vulnerability Disclosure Policy pubblica.
Disclosure policy
Attiva oggi
Bugcrowd / HackerOne
Q3 2026
Safe harbor
Attivo
SLA di risposta
24h ack · 7g triage

Vulnerability Disclosure Policy

Claresia si impegna a quanto segue quando un ricercatore segnala in buona fede una vulnerabilità:

  • Confermeremo la ricezione entro 24 ore (giorni lavorativi).
  • Effettueremo il triage e assegneremo una severità entro 7 giorni.
  • La terremo aggiornato sull'avanzamento e sulle tempistiche di remediation.
  • Non intraprenderemo azioni legali contro la ricerca in buona fede che rispetti questa policy.
  • La menzioneremo pubblicamente in questa pagina (con il Suo consenso) alla risoluzione della vulnerabilità.

Safe harbor

Le attività condotte in buona fede e in conformità a questa policy sono autorizzate. Claresia non avvierà né supporterà azioni legali correlate alla Sua ricerca, lavorerà con Lei per comprendere e risolvere il problema in tempi rapidi e considera la Sua attività autorizzata ai sensi del Computer Fraud and Abuse Act, del Digital Millennium Copyright Act e degli equivalenti normativi esteri applicabili.

In ambito

  • *.claresia.com — ogni sottodominio pubblico di produzione
  • app.claresia.com (Command Center)
  • hub.claresia.com (Hub viewer)
  • docs.claresia.com (Documentazione)
  • onboarding.claresia.com (Portale di Onboarding)
  • Estensione browser su Chrome, Edge, Firefox
  • App Teams + app Slack pubblicate nei marketplace
  • Endpoint di pubblicazione LLM del Distribution Plane

Fuori ambito

  • trust.claresia.com (questo sito — statico, nessun dato di produzione)
  • Pagina di Stato (status.claresia.com — gestita da Statuspage)
  • Sito marketing (claresia.com — nessun dato di produzione)
  • Attacchi teorici contro fornitori LLM terzi (segnalare direttamente ad Anthropic / OpenAI / Google)
  • Social engineering del personale Claresia
  • Attacchi fisici a personale o sedi Claresia
  • Attacchi denial-of-service
  • Finding dipendenti esclusivamente da browser obsoleti (più di 2 versioni indietro rispetto alla corrente)

Fasce di ricompensa (operative dal lancio del programma nel Q3 2026)

Severità Fascia di ricompensa Esempi
Critica $5.000 – $15.000 Esfiltrazione di dati Cliente, account takeover su larga scala, escalation di privilegi tra tenant.
Alta $1.500 – $5.000 Esposizione di dati di un singolo tenant, bypass di autenticazione, XSS persistente sulle superfici di amministrazione.
Media $500 – $1.500 XSS riflesso, CSRF su endpoint sensibili, divulgazione di informazioni sensibili.
Bassa $100 – $500 Punti deboli di configurazione, rate limit rilevanti per la sicurezza, misconfigurazioni a basso impatto.

Fino al lancio del programma pubblico, le segnalazioni qualificate inviate a vdp@claresia.com saranno eleggibili retroattivamente a queste ricompense.

Segnalare una vulnerabilità

Invii un report chiaro che includa: URL impattata, passi di riproduzione, valutazione dell'impatto ed eventuale proof-of-concept. Cifri i dettagli sensibili con la nostra chiave PGP (disponibile su richiesta). Confermiamo entro 24 ore lavorative.

vdp@claresia.com Richiedi la chiave PGP