Dichiarazione di Divulgazione delle Vulnerabilità Tecniche

Programma Generale di Gestione delle Vulnerabilità Tecniche

NTT DATA, Inc. è impegnata a mantenere la sicurezza e l'integrità dei nostri asset digitali. Investiamo continuamente in misure di sicurezza complete e audit regolari per proteggere questi asset. Sebbene riconosciamo il valore dell'impegno della comunità in sicurezza tramite programmi di bug bounty e simili, il nostro focus è sull'uso dell'expertise interna e contrattata per mantenere e migliorare il nostro programma di sicurezza.

Pertanto, non compensiamo né singoli né organizzazioni per l'identificazione di vulnerabilità di sicurezza potenziali o confermate. Qualsiasi richiesta di compensazione monetaria o altro sarà considerata una violazione dei termini del nostro Programma di Dichiarazione Responsabile.

Come segnalare una potenziale vulnerabilità di sicurezza

Se hai scoperto una potenziale vulnerabilità di sicurezza all'interno di NTT DATA, Inc. o di uno dei nostri servizi o prodotti, vorremmo ascoltarti e ti incoraggiamo vivamente a comunicarcelo il prima possibile e in modo responsabile.

Segnala la tua preoccupazione attraverso il nostro sito web e fornisci il maggior numero possibile di informazioni, comprese:

• Una spiegazione della potenziale vulnerabilità di sicurezza
• Un elenco dei prodotti e dei servizi che potrebbero essere interessati (ove possibile)
• Passaggi per riprodurre la vulnerabilità
• I nomi di eventuali test account che hai creato (ove applicabile)
• Le tue informazioni di contatto

Cosa succede dopo?

Ci impegniamo a esaminare tutti i rapporti di dichiarazione responsabile. Ti chiediamo di mantenere la confidenzialità e di non rendere pubblico il tuo lavoro di ricerca fino a quando non avremo completato la nostra indagine e, se necessario, avremo risolto o mitigato la potenziale vulnerabilità di sicurezza.

Ti chiediamo di non divulgare pubblicamente i dettagli di eventuali vulnerabilità di sicurezza senza il nostro consenso scritto esplicito.

Soggetti a qualsiasi requisito legale e regolatorio, tutti i rapporti saranno mantenuti strettamente confidenziali, così come i dettagli della vulnerabilità di sicurezza potenziale e l'identità di tutti i ricercatori coinvolti nella segnalazione.

Se vengono scoperte e segnalate vulnerabilità di sicurezza strettamente in conformità con il nostro Programma di Dichiarazione Responsabile, non intraprenderemo azioni legali contro i ricercatori di sicurezza in relazione alla scoperta e alla segnalazione di una potenziale vulnerabilità di sicurezza.

In caso di non conformità, ci riserviamo tutti i diritti legali.

Le seguenti attività di ricerca sono rigorosamente vietate:

• Accedere o tentare di accedere ad account o a dati che non ti appartengono.
• Qualsiasi tentativo di modificare o distruggere qualsiasi dato.
• Eseguire o tentare di eseguire un attacco di denial of service (DoS).
• Inviare o tentare di inviare email non richieste o non autorizzate, spam o qualsiasi altra forma di messaggi non richiesti.
• Social engineering di qualsiasi dipendente di NTT DATA, appaltatore, cliente o altra parte, incluso (ma non limitato a) avvicinare qualsiasi individuo fisicamente o tramite mezzi elettronici, ad esempio tramite phishing. 
• Qualsiasi tentativo fisico contro il nostro patrimonio o i nostri data center, incluso (ma non limitato a) data center fisici, infrastrutture ospitate e sedi d'ufficio.
• Pubblicare, trasmettere, caricare, collegare, inviare o memorizzare malware, virus o software dannoso simile che potrebbe influenzare i nostri servizi, prodotti, clienti o qualsiasi altra parte.
• Testare siti web di terze parti, applicazioni o servizi che integrano i nostri servizi o prodotti.
• Utilizzare scanner di vulnerabilità automatizzati.
• Estrarre dati in qualsiasi circostanza.
• Qualsiasi attività che violi qualsiasi legge.

Considereremo di intraprendere azioni legali contro chiunque venga trovato a svolgere uno dei sopraindicati.

Riconoscimento delle vulnerabilità segnalate

Una volta completata l'indagine, potremmo, a nostra discrezione e con il consenso dei ricercatori, riconoscere i ricercatori coinvolti. Tuttavia, non forniremo loro alcuna forma di compensazione.

Se un rapporto viene considerato un duplicato o è altrimenti già noto a noi, il rapporto non sarà idoneo per un riconoscimento pubblico.

Segnala una vulnerabilità tecnica

Se hai scoperto una potenziale vulnerabilità di sicurezza all'interno di NTT DATA, Inc. o di uno dei nostri servizi o prodotti, ti incoraggiamo vivamente a comunicarcelo il prima possibile e in modo responsabile.