Vulnerability Disclosure Policy

Introduzione

Blackforest Systems prende la sicurezza sul serio. Se hai scoperto una vulnerabilità in Elite Lux Admin Panel, apprezziamo la divulgazione responsabile.

Ambito di applicazione

Nel campo di applicazione (in-scope):

• Elite Lux Admin Panel (tutte le versioni su Hetzner DE)
• Endpoint API e autenticazione
• Gestione delle sessioni e cookie
• Componenti infrastrutturali (Caddy, OpenBao, Stalwart)

Come segnalare una vulnerabilità

Tempi di risposta

Conferma di ricezione:

Entro 48 ore

Valutazione iniziale:

Entro 7 giorni lavorativi

Correzione (critica):

Entro 30 giorni

Divulgazione coordinata:

Su accordo — tipicamente 90 giorni dopo la correzione

Safe Harbor (protezione dei ricercatori)

Trattamento dei dati personali

Le informazioni sulle vulnerabilità sono trattate in modo strettamente riservato. I dati personali dei ricercatori non vengono condivisi con terzi senza consenso esplicito.

Riconoscimenti

Non offriamo compensi monetari. I ricercatori riconosciuti sono elencati nella nostra Hall of Fame con il loro consenso.

Contatti

Base giuridica

• EU Cyber Resilience Act (CRA) Art. 14 — obblighi di divulgazione delle vulnerabilità
• Direttiva NIS 2 Art. 23 — segnalazione degli incidenti
• RFC 9116 — standard security.txt
• §202a–c StGB — ricerca sulla sicurezza protetta quando condotta in buona fede