Politica sulla divulgazione responsabile/divulgazione delle vulnerabilità

In Choice Hotels International apprezziamo i ricercatori per la sicurezza e li incoraggiamo a contattarci per segnalare potenziali vulnerabilità identificate in relazione a qualsiasi nostro prodotto, sistema o risorsa. A supporto di ciò, abbiamo elaborato una politica sulla divulgazione responsabile, denominata anche politica sulla divulgazione delle vulnerabilità. Man mano che cresceremo e avanzeremo nel futuro, rivedremo la presente politica; si prega pertanto di continuare a controllare qui per eventuali aggiornamenti.

 


Messaggio speciale alla comunità dei ricercatori per la sicurezza/segnalatori di vulnerabilità

Vi ringraziamo in anticipo per informarci in merito a potenziali lacune nella nostra sicurezza. Apprezziamo molto chi ci contatta per correggere le vulnerabilità per garantire il minor impatto e rischio possibile per le nostre comunità di stakeholder e, a supporto, abbiamo stabilito una politica di divulgazione responsabile/divulgazione delle vulnerabilità.


Azione legale

Non intenteremo azioni legali, né presenteremo una denuncia alle forze dell'ordine nei confronti dei ricercatori che operano in buona fede. Tuttavia, Choice Hotels International si riserva tutti i diritti legali in caso di inosservanza delle linee guida per operare in buona fede riportate di seguito.

 

Ricompensa

Si prega di notare che Choice Hotels International non offre attualmente un programma di “bug bounty”; pertanto, non è previsto alcun compenso/ricompensa o riconoscimento pubblico per la segnalazione di potenziali vulnerabilità.

 

Linee guida per operare in buona fede

Nel promuovere la scoperta e la segnalazione di vulnerabilità, vi chiediamo di:

  • Essere rispettosi delle nostre applicazioni esistenti; agire per evitare violazioni della privacy, distruzione di dati e interruzione o degrado dei nostri servizi (compreso il rifiuto del servizio);
  • Non accedere a o modificare nostri dati o dati dei nostri stakeholder;
  • Contattarci immediatamente se incontrate dati degli stakeholder. Non visualizzare, alterare, distruggere, salvare, condividere, archiviare, trasferire, accedere o compromettere altrimenti i dati e si prega di eliminare qualsiasi informazione locale al momento della segnalazione della vulnerabilità a noi;
  • Se vi imbattete in informazioni personali (ad esempio nomi, indirizzi, indirizzi email, numeri di conto fedeltà, identificativi univoci, numeri di carta di credito), dovete interrompere tutte le attività e contattare immediatamente Choice Hotels International;
  • Non generare transazioni finanziarie fraudolente;
  • Non prendere parte ad alcuna attività che violi a) leggi o regolamenti federali, statali o internazionali, o b) le leggi o i regolamenti di qualsiasi paese in cui i) si trovano beni, dati o sistemi, ii) il traffico di dati è instradato, iii) il ricercatore sta conducendo attività di ricerca, o iv) in cui risiedono gli interessati;
  • Condividete con noi il problema della sicurezza e/o della privacy.
 

Processo di divulgazione responsabile/divulgazione delle vulnerabilità: Come segnalare una vulnerabilità

Per segnalare una potenziale vulnerabilità, siete pregati di inviare un'email ai team per la sicurezza delle informazioni e la privacy: responsibledisclosure@choicehotels.com.

 

Formato di invio

Nel segnalare una potenziale vulnerabilità, dovete includere una descrizione dettagliata della vulnerabilità: strumenti utilizzati, target, processi e risultati. Si prega di supportare i risultati allegando qualsiasi strumento pertinente utilizzato per la scoperta. Anche se non richiesto per la revisione e la convalida/verifica della vulnerabilità, se disponete di informazioni relative alla correzione della vulnerabilità, siete pregati di condividere la vostra risoluzione proposta.

 

Riconoscimento e risposta

Quando una segnalazione viene ricevuta dal team di sicurezza informatica, verrà inviata una conferma in risposta al mittente entro cinque giorni lavorativi. Se necessario, può essere inviata una richiesta di ulteriori informazioni. Dopo la convalida/verifica di una vulnerabilità, verrà inviata una risposta di follow-up al mittente.

 

Tempistiche

Choice Hotels International non negozierà in risposta a una minaccia (ad esempio, non negozieremo sotto la minaccia di non rivelare una vulnerabilità, o una minaccia di rendere pubblica la vulnerabilità). Detto ciò, dedichiamo le nostre risorse a lavorare con voi e vi chiediamo di concederci un ragionevole lasso di tempo sia per la convalida/verifica che per la risoluzione della vulnerabilità prima di intraprendere azioni per renderla pubblica.

 

Segnalazione di vulnerabilità esterna

La segnalazione di informazioni relative a vulnerabilità ad altre terze parti/fornitori sarà determinata a discrezione di Choice Hotels International.

 

Fuori dall’ambito

Quanto segue non rientra nell'ambito di applicazione della Politica sulla divulgazione responsabile. Le vulnerabilità escluse includono:

  • Ingegneria sociale, come tentativi di rubare cookie, pagine di accesso false per raccogliere credenziali e phishing
  • Attacchi Resource Exhaustion
  • Test fisici
  • Attacchi Denial of Service

Torna in cima