- Chi siamo
Chi siamo
Havant è il motore della Digital Innovation. Da oltre vent’anni trasforma la tecnologia in vantaggio competitivo.
- Cosa facciamo
Cosa facciamo
Affianchiamo aziende e PA con soluzioni integrate che ottimizzano processi, dati e operatività quotidiana.
- Soluzioni
Soluzioni
Rispondiamo alle esigenze dei nostri clienti con soluzioni altamente affidabili e integrate.
- People
Cerca
Responsible Disclosure
Cosa è la Responsible Disclosure
La Responsible Disclosure definisce una modalità per segnalare vulnerabilità dei sistemi informatici, lasciando al ricevente il tempo necessario per poter individuare ed applicare le opportune contromisure, prima di renderle pubbliche.
Applicando questo modello controllato ed eticamente corretto, per le segnalazioni di vulnerabilità di sicurezza, si contribuisce ad innalzare il livello di protezione dei servizi informatici e dei prodotti offerti ai clienti, aiutando le aziende a rilevare e porre rimedio alle falle dei sistemi, per evitare che vengano creati danni o disservizi.
Per inviare una segnalazione scrivi a responsible-disclosure@havant.com
Trovi le regole qui di seguito
Come funziona la Responsible Disclosure di Havant
Se un cliente, un ricercatore di sicurezza o un esperto individua una vulnerabilità relativa a:
- Portali web Havant (es. www.havant.com)
- Applicativi e/o App mobili ufficiali Havant (es. Docsweb, AgileSign, ecc)
può segnalarla a Havant seguendo la procedura di Responsible Disclosure riportata sotto.
L’obiettivo del processo è garantire che eventuali vulnerabilità vengano gestite responsabilmente, evitando di creare rischi per altri utenti o causare impatti sui sistemi Havant.
Impegni richiesti a chi effettua la segnalazione
Chi invia la segnalazione deve adottare un comportamento responsabile e non arrecare alcun danno ai sistemi Havant.
In particolare:
- Deve mantenere la massima riservatezza sulla vulnerabilità scoperta per almeno 90 giorni, così da permettere a Havant di correggerla. In casi complessi, questo periodo può essere esteso previa comunicazione.
- Non deve svolgere test che possano causare interruzioni, degrado dei servizi o perdita di dati.
- Deve limitare l’utilizzo degli strumenti necessari alla sola dimostrazione della vulnerabilità, evitando scansioni invasive.
- Non deve accedere né divulgare dati di terzi senza consenso.
Se chi segnala opera come persona giuridica (azienda, ente, associazione), deve garantire che le informazioni sulla vulnerabilità siano condivise solo con il personale strettamente necessario e con adeguate misure di sicurezza interne.
Cosa deve contenere la segnalazione
La segnalazione va inviata via e-mail all’indirizzo responsible-disclosure@havant.com, includendo:
- Dati identificativi del segnalante (nome, cognome ed eventuale organizzazione).
- Tipologia di vulnerabilità individuata.
- Servizio, applicazione o apparato coinvolto.
- Descrizione tecnica dettagliata per permettere la riproduzione del problema.
- Indirizzo IP utilizzato per il test e data/ora della scoperta.
- Un archivio ZIP (max 10MB) con tutto il materiale utile (screenshot, PoC, log, script, pcap, ecc.).
- Il consenso (o meno) alla condivisione dei propri dati con il produttore della tecnologia eventualmente coinvolta.
- La disponibilità a comparire nella Hall of Fame Havant.
In caso di dipendenti di organizzazioni, Havant non pubblicherà nessun riferimento personale ma verrà citata, eventualmente, oltre all’organizzazione il nome della funzione che ha scoperto la vulnerabilità.
Cosa farà Havant dopo la segnalazione
Havant si impegna a:
- Inviare un primo riscontro per confermare la ricezione della segnalazione.
- Entro 10 giorni, comunicare se la segnalazione rientra nel processo di Responsible Disclosure e fornire un primo esito dell’analisi.
- Gestire la vulnerabilità nei tempi previsti e, se ritenuta eleggibile e non già in gestione, ringraziare pubblicamente l’organizzazione (nel caso di professionista indipendente verrà ringraziata la persona fisica) nella Hall of Fame, se autorizzata.
Havant non offre ricompense economiche e può decidere di non prendere in carico le segnalazioni che non rispettano i criteri previsti. Dopo il rilascio della patch, Havant invita comunque a mantenere un comportamento prudente, poiché la distribuzione della correzione potrebbe richiedere tempo.
Esempi di vulnerabilità considerate eleggibili
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Injection (es. SQL injection)
- Problemi di autenticazione o gestione delle sessioni
- Broken access control
- Errori di configurazione della sicurezza
- Attacchi di redirect o Man in the Middle
- Remote code execution
- API insufficientemente protette
- Escalation di privilegi
Segnalazioni escluse dalla Responsible Disclosure
Le seguenti casistiche non sono considerate valide ai fini della pubblicazione nella Hall of Fame:
- Problemi non legati alla sicurezza (es. bug grafici, indisponibilità servizi): da segnalare tramite canali customer care (responsible-disclosure@havant.com)
- Phishing, spam, social engineering: da segnalare a responsible-disclosure@sbitalia.com o tramite la form dedicata sul sito Havant.
- Output di tool automatici di scanning (Nessus, nmap, ecc.) senza analisi manuale.
- Configurazioni TLS deboli o mancanza di best practice come security headers.
Havant può aggiornare in qualsiasi momento la procedura di Responsible Disclosure.
Hall of Fame
Ringraziamo pubblicamente tutti coloro che contribuiscono, in maniera responsabile, a proteggere i nostri Clienti, migliorando la sicurezza dei nostri servizi e prodotti.
2025
Ringraziamenti a: Offensive Security Operations Center (OSOC) | Security Services & Products, CyberSecurity & Cyber Threat Defense Center | AlmavivA
Information Disclosure | Sensitive Data Exposure | Grazie a Michele Messina
SB Italia evolve
Ora siamo Havant. Una nuova identità, lo stesso impegno nel guidare il futuro digitale.