TERMINI DI UTILIZZO

Versione: 1.0
Valida dal: 1 Luglio  2021

  1. DEFINIZIONI
  2. Un programma Bug Bounty è un’iniziativa promossa dall’azienda per identificare, correggere e divulgare bug del software e vulnerabilità della sicurezza (di seguito Vulnerabilità) offrendo ricompense finanziarie agli scopritori.
  3. La NoZero Platform (di seguito: Platform) è una piattaforma gestita da NoZero srl (Platform Operator), che offre ai propri clienti (Clienti) l’esecuzione di un programma bug bounty.
  4. Un Cliente è un’azienda che utilizza l’offerta della Piattaforma per trovare vulnerabilità nel suo software e per risolverle prima che diventino di dominio pubblico.
  5. Gli hacker Etici sono esperti di sicurezza che partecipano a un programma di bug bounty e vengono ricompensati per aver trovato bug nel software dei clienti.
  6. DESCRIZIONE DELLA PIATTAFORMA

Molte aziende non possono permettersi programmi o piattaforme di bug bounty organizzati in modo indipendente a causa dello sforzo tecnico, organizzativo e legale coinvolto. È qui che entra in gioco la piattaforma NoZero: la piattaforma consente al cliente di creare e gestire un programma di bug bounty individuale tramite la piattaforma NoZero e offre sia agli hacker etici che ai clienti protezione legale sotto forma di una “Accordo Legale”. Fintanto che gli Hacker Etici rimangono all’interno del quadro stabilito dai Clienti, non sono perseguibili perché i Clienti hanno dato il loro previo consenso a tali attività di hacking. Eventuali vulnerabilità vengono segnalate dagli Hacker Etici esclusivamente tramite la piattaforma Nozero. La piattaforma garantisce l’archiviazione sicura di queste informazioni e controlla le vulnerabilità segnalate per verificabilità e novità. Quindi classifica le vulnerabilità verificabili che non sono già note in termini di gravità e criticità. A seconda della gravità di una vulnerabilità (“bug”), assegna quindi una ricompensa (“taglia”) e trasferisce l’importo corrispondente di denaro sul conto dell’Hacker Etico. Le categorie di vulnerabilità e i premi associati possono essere visualizzati sul sito Web della piattaforma per gli hacker etici registrati, con i premi determinati dai clienti per il rispettivo programma di bug bounty. Quindi classifica le vulnerabilità verificabili che non sono già note in termini di gravità e criticità. A seconda della gravità di una vulnerabilità (“bug”), assegna quindi una ricompensa (“taglia”) e trasferisce l’importo corrispondente di denaro sul conto dell’Hacker Etico.     Le categorie di vulnerabilità e le relative ricompense possono essere visualizzate sul sito web della piattaforma per gli Hacker Etici registrati, con le ricompense determinate dai clienti per il rispettivo programma di bug bounty.

  1. SERVIZI DELLA PIATTAFORMA

La Piattaforma offre ai Clienti una piattaforma di bug bounty attraverso la quale il Cliente può gestire il proprio programma di bug bounty. Ciò include i seguenti servizi, se non diversamente specificato nel tipo di servizio selezionato della piattaforma:

  • Verifica dell’identità degli Hacker Etici secondo i vari livelli di verifica dell’identità.
  • Assicurazione che solo quegli Hacker Etici partecipino a un programma di bug bounty che abbiano accettato i termini d’uso e le regole generali e individuali del Cliente per gli Hacker Etici.
  • Revisione delle vulnerabilità segnalate dagli Hacker Etici per novità e verificabilità.
  • Revisione della classificazione di gravità delle vulnerabilità nuove e verificabili inizialmente determinate dall’ Hacker Etico.
  • Fornire una piattaforma di discussione tra il cliente e l’hacker etico per domande relative alle vulnerabilità segnalate.
  • Archiviazione sicura delle informazioni sulle vulnerabilità finché non vengono risolte.
  • Informazioni sulle vulnerabilità già riscontrate per gli Hacker Etici che partecipano al programma bug bounty in questione (per escludere più segnalazioni).
  • Pagamento di premi per vulnerabilità nuove e verificabili in base alla lista taglie individuale del cliente.
  1. DOVERI DEGLI HACKER ETICI
  2. Per partecipare a un programma di bug bounty tramite la piattaforma, L’ Hacker Etico deve registrarsi con almeno il proprio nome e cognome, indirizzo postale, indirizzo e-mail e numero di telefono e accettare le presenti Condizioni d’uso. Si applica un’età minima di 18 anni. Accettando le Condizioni d’uso, l’Hacker Etico garantisce di avere almeno 18 anni. Per ricevere un premio, devono anche fornire un conto bancario a loro nome (IBAN più nome e indirizzo postale). Inoltre, devono accettare i termini e le condizioni individuali di ciascun programma di bug bounty a cui desiderano partecipare. Questi possono vietare ulteriori metodi di hacking oltre ai metodi di hacking non autorizzati elencati di seguito e possono anche imporre altre condizioni che vanno oltre i presenti termini di utilizzo.
  3. Gli Hacker Etici sono responsabili del proprio account e devono in particolare garantire che i dati di accesso siano inaccessibili a terzi. Accettando le Condizioni d’uso, L’Hacker Etico acconsente alla divulgazione delle proprie informazioni di contatto ai clienti dei programmi di bug bounty a cui partecipano.
  4. Accettando le presenti Condizioni d’uso, l’Hacker Etico si impegna a documentare le informazioni sulle vulnerabilità rilevate esclusivamente tramite il modulo di segnalazione designato della piattaforma e non in altri luoghi. Accettano inoltre di mantenere segreta la vulnerabilità trovata per 90 giorni dopo averla segnalata sulla piattaforma. Si impegnano infine a caricare sulla piattaforma i dati dei clienti a cui hanno avuto accesso nell’ambito di un programma di bug bounty ed a cancellare successivamente eventuali copie locali ed a non diffonderle ulteriormente.
  5. Accettando i termini di utilizzo, l’Hacker Etico si impegna ad astenersi da metodi che abbiano un impatto negativo sulle applicazioni testate o sui loro utenti. Tra gli altri questi sono:
    • Ingegneria sociale
    • Spam
    • phishing
    • Attacchi Denial of Service o altri attacchi di bruteforce
    • Attacchi fisici
  6. Oltre ai metodi di hacking impropri elencati nella Sezione 4.4, gli Hacker Etici sono tenuti a interrompere immediatamente la ricerca di vulnerabilità se determinano che la loro condotta comporterà un degrado significativo (impatto negativo sugli utenti regolari o sul team operativo) della Piattaforma o Operazioni del servizio.
  7. DOVERI DEI CLIENTI
  8. Quando si configura un programma di bug bounty tramite la piattaforma, i clienti devono definire l’ambito del programma. L’ambito definisce per quali servizi del cliente deve essere applicato il programma bug bounty. In particolare, possono includere o escludere determinati domini e/o sottodirectory dall’ambito. Le informazioni aggiuntive richieste per lo scopo sono disponibili nel modulo corrispondente.
  9. Accettando le Condizioni d’uso, i Clienti acconsentono all’uso di metodi di hacking da parte di Hacker Etici sui loro siti Web e software designati. Sono esclusi i metodi elencati nella sezione 4.4 e nel programma bug bounty. In ragione del consenso dei clienti, il criterio della responsabilità penale dell’ottenimento/utilizzo non autorizzato e quindi la responsabilità penale degli Hacker Etici in relazione ai reati di cui all’art. 167 – 167bis – 167 ter del   (Ottenimento non autorizzato di dati) e art. 615 ter   Codice penale italiano (Accesso non autorizzato a un sistema di elaborazione dati) non trova applicazione.
  10. I clienti si impegnano a pagare i prezzi secondo il listino prezzi per i servizi della piattaforma nonché una somma da loro scelta, che verrà utilizzata come taglia in caso di scoperta di nuove e rintracciabili vulnerabilità per il pagamento degli Hacker Etici. La commissione per i servizi della piattaforma e la somma designata per i premi devono essere trasferite all’operatore della piattaforma prima dell’inizio di un programma di bug bounty o impegnate, ad esempio, sotto forma di ordine di acquisto (PO). La ricompensa per l’Hacker Etico, inclusa la commissione di gestione della piattaforma, deve essere trasferita entro 15 giorni dalla conferma definitiva del bug. E’possibile anche il pagamento anticipato delle somme previste annualmente per i premi.
  11. Il programma bug bounty avviato da un Cliente verrà eseguito fino a quando non verrà messo in pausa o interrotto dal Cliente. I clienti accettano di pagare le Taglie per i Bug trovati durante un Programma Bug Bounty in corso (cioè non sospeso o interrotto).
  12. VALUTAZIONE E PAGAMENTO DEI PREMI
  13. I bug segnalati dagli Hacker Etici tramite la piattaforma saranno valutati dall’operatore della piattaforma entro 5 giorni per quanto riguarda la loro novità e verificabilità e, se nuovi e verificabili, confermati in una categoria e quindi in un premio secondo la lista taglie di il rispettivo programma bug bounty.
  14. Se non diversamente definito nel programma bug bounty, la valutazione viene verificata tramite il Common Vulnerability Scoring System (CVSS):
    • basso: 0,1 – 3,9
    • medio: 4.0 – 6.9
    • alto: 7.0 – 8.9
    • critico: 9.0 – 10
  15. Il premio per la ricerca e la segnalazione di un bug nuovo e verificabile sarà trasferito sul conto bancario dell’Hacker Etico interessato specificato durante la registrazione entro 30 giorni dalla conferma definitiva del bug.
  16. Più vulnerabilità causate da un problema sottostante vengono premiate con un premio.
  17. La piattaforma ha facoltà di rifiutare i bug segnalati se non nuovi e/o non verificabili. In tal modo decade ogni diritto al risarcimento.
  18. Le seguenti vulnerabilità e forme di documentazione generalmente non vengono ricercate e vengono respinte:
    • Best practice che non portano a una vulnerabilità direttamente sfruttabile (ad esempio, intestazioni di sicurezza mancanti).
    • Vulnerabilità dovute a librerie software di terze parti per le quali le vulnerabilità sono già note.
    • Documentazioni di strumenti automatici senza ulteriori spiegazioni.
  1. DURATA DEL CONTRATTO
  1. Il contratto tra la piattaforma e gli Hacker Etici entra in vigore con la registrazione di un account e l’accettazione delle condizioni d’uso. Il contratto può essere rescisso dagli Hacker Etici in qualsiasi momento cancellando l’Account. Il contratto può anche essere rescisso dalla piattaforma in qualsiasi momento senza indicarne i motivi e l’accesso all’account di Hacker Etico può essere disattivato.
  2. Il contratto tra la piattaforma e i Clienti si perfeziona con la registrazione di un Account e l’accettazione delle Condizioni d’uso. Il contratto può essere risolto dai Clienti in qualsiasi momento cancellando l’Account. Il contratto può essere rescisso anche dalla piattaforma senza indicarne le ragioni allo scadere del termine. In caso di risoluzione del contratto tra la piattaforma e i clienti, l’eventuale saldo del credito verrà rimborsato.
  3. RESPONSABILITÀ
  4. I Clienti sono gli unici responsabili per qualsiasi danno che si verifica nell’ambito dell’hacking consentito dall’Ambito. In questo caso sono escluse azioni civili o penali contro l’Hacker Etico o la piattaforma.
  5. Se un Hacker Etico non aderisce all’ambito specificato e di conseguenza si verifica un danno, l’Hacker Etico è il solo responsabile di ciò. Se vi sono prove di un sospetto fondato che i Clienti abbiano superato l’ambito, la piattaforma bloccherà l’account dell’/degli Hacker Etici incriminato/i. È esclusa qualsiasi ulteriore responsabilità della piattaforma.
  1. La piattaforma garantisce l’archiviazione sicura delle informazioni sulle vulnerabilità riscontrate secondo lo stato dell’arte. Nel caso in cui terzi siano in grado di accedere a tali informazioni nonostante le misure di protezione adottate e di conseguenza si verifichino danni, è esclusa la responsabilità della Piattaforma.
  2. La piattaforma deve garantire la migliore disponibilità possibile. La piattaforma non sarà responsabile per eventuali danni derivanti da un’indisponibilità della piattaforma.
  3. Gli hacker etici sono responsabili della corretta dichiarazione dei propri guadagni (premi per i bug trovati) secondo la legge a loro applicabile. La piattaforma esclude ogni responsabilità per errata dichiarazione di guadagni da parte degli Hacker Etici. Per gli Hacker Etici residenti in Italia, la mancanza di dipendenza economica e organizzativa del lavoro significa che non c’è lavoro dipendente e quindi nessun obbligo di pagare i contributi previdenziali.
  4. DISPOSIZIONI FINALI
  5. La piattaforma ha diritto a disporre di tutti o di singoli servizi, che è obbligata a fornire in conformità alle presenti Condizioni d’uso, forniti da subappaltatori anche all’estero.
  6. Le comunicazioni dalla piattaforma ai clienti e agli hackers Etici devono essere effettuate tramite e-mail sicura o tramite la piattaforma.
  7. La Piattaforma può modificare le presenti Condizioni d’uso. In ogni caso si applica la versione delle Condizioni d’uso disponibile online.
  8. I contratti tra la Piattaforma e gli Hackers Etici o tra la Piattaforma e i Clienti sono disciplinati esclusivamente dal diritto Italiano. I contratti tra la Piattaforma e Hacker Etici, o tra la Piattaforma e i Clienti, sono regolati esclusivamente dal diritto sostanziale italiano, escluse le convenzioni internazionali, inclusa la Convenzione delle Nazioni Unite sui contratti di vendita internazionale di beni dell’11 aprile 1980 (CISG) e le norme sul conflitto di leggi.
  9. Il foro competente esclusivo è Roma.