Divulgazione Coordinata delle Vulnerabilità sotto il CRA: Modello di Policy e Configurazione

Il CRA richiede che i produttori implementino la divulgazione coordinata delle vulnerabilità. Non è opzionale, è un obbligo legale. Eppure molte organizzazioni non hanno una policy CVD o ne hanno una che non soddisfa le aspettative normative.

Questa guida fornisce tutto ciò di cui hai bisogno: modelli di policy, framework di comunicazione con i ricercatori e guida sui tempi.

Cosa Richiede il CRA

L'Allegato I, Parte II del CRA richiede che i produttori:

"mettano in atto e applichino una policy sulla divulgazione coordinata delle vulnerabilità"

Questo significa:

• Avere una policy: Scritta, pubblicata, accessibile
• Implementarla: Seguire effettivamente la policy quando arrivano le segnalazioni
• Applicarla: Applicazione coerente su tutti i prodotti

Il CRA non specifica il contenuto esatto della policy, ma gli standard del settore e le aspettative normative sono chiari.

Componenti Essenziali della Policy

La tua policy CVD deve affrontare questi elementi:

1. Ambito

Quali prodotti e servizi sono coperti?

ESEMPIO DI AMBITO:
Questa policy si applica a:
- Tutti i prodotti [Nome Azienda] con elementi digitali
- Firmware e software associati
- Applicazioni web su *.azienda.com
- Applicazioni mobile pubblicate da [Nome Azienda]

Questa policy NON si applica a:
- Prodotti di terze parti venduti ma non fabbricati da noi
- Servizi forniti da partner sotto le loro policy

2. Metodi di Contatto

Come possono raggiungerti i ricercatori?

Canali richiesti:

• Indirizzo email (security@azienda.com)
• Modulo web (preferito, ricezione strutturata)
• File security.txt che punta ai metodi di contatto

Miglioramenti opzionali:

• Chiave PGP per segnalazioni crittografate
• Integrazione piattaforma bug bounty
• Portale dedicato ai ricercatori

3. Impegni di Risposta

Cosa possono aspettarsi i ricercatori?

4. Timeline di Divulgazione

Quando possono pubblicare i ricercatori?

Standard del settore: 90 giorni dalla segnalazione alla divulgazione pubblica

La tua policy dovrebbe specificare:

• Finestra di divulgazione standard (es. 90 giorni)
• Condizioni di estensione (fix complessi, multi-vendor coordinato)
• Condizioni di divulgazione anticipata (sfruttamento attivo, vendor non responsivo)
• Diritto del ricercatore a divulgare se non rispondi

5. Safe Harbor Legale

Proteggere i ricercatori in buona fede da azioni legali.

ESEMPIO DI SAFE HARBOR:
[Nome Azienda] non perseguirà azioni legali contro i ricercatori che:
- Fanno sforzi in buona fede per conformarsi a questa policy
- Evitano violazioni della privacy, distruzione di dati e interruzione dei servizi
- Non sfruttano le vulnerabilità oltre la dimostrazione necessaria
- Segnalano le scoperte prontamente e permettono un tempo ragionevole di remediation
- Non divulgano pubblicamente prima della timeline coordinata

Questo safe harbor copre attività che potrebbero altrimenti violare:
- Leggi su frode informatica e abusi
- Regolamenti sulla protezione dei dati
- Disposizioni dei termini di servizio

6. Riconoscimento e Premi

Come riconosci i ricercatori.

Opzioni:

• Riconoscimento pubblico (Hall of Fame)
• Ringraziamento privato
• Pagamenti bug bounty
• Gadget/merchandising
• Lettere di referenza

7. Elementi Fuori Ambito

Cosa non vuoi che venga segnalato (o gestisci diversamente).

FUORI AMBITO:
- Attacchi di social engineering contro i dipendenti
- Problemi di sicurezza fisica
- Test di denial of service
- Segnalazioni di spam o phishing
- Problemi in servizi di terze parti che non controlliamo
- Vulnerabilità già segnalate

Modello Completo di Policy CVD

Usa questo modello come punto di partenza. Personalizza per la tua organizzazione.

# Policy di Divulgazione delle Vulnerabilità [Nome Azienda]

## Introduzione

[Nome Azienda] si impegna per la sicurezza dei nostri prodotti e la protezione
dei nostri clienti. Apprezziamo la comunità di ricerca sulla sicurezza e
accogliamo favorevolmente la divulgazione responsabile delle vulnerabilità.

## Ambito

Questa policy si applica a:
- Tutti i prodotti fabbricati da [Nome Azienda]
- Software e firmware nei nostri prodotti
- Proprietà web su *.azienda.com
- Applicazioni mobile pubblicate da [Nome Azienda]

## Come Segnalare

**Metodo Preferito:** Invia tramite il nostro modulo sicuro a:
https://azienda.com/security/report

**Alternativa:** Email security@azienda.com
- Chiave PGP: [ID chiave o link alla chiave]

**Riferimento:** Il nostro file security.txt è su:
https://azienda.com/.well-known/security.txt

## Cosa Includere

Per favore fornisci:
- Prodotto/i e versione/i interessati
- Descrizione della vulnerabilità
- Passaggi per riprodurre
- Valutazione dell'impatto potenziale
- Il tuo suggerimento di remediation (opzionale)
- Le tue informazioni di contatto per il follow-up

## I Nostri Impegni

| Timeline | Azione |
|----------|--------|
| 3 giorni lavorativi | Conferma di ricezione della tua segnalazione |
| 10 giorni lavorativi | Valutazione iniziale e classificazione di severità |
| Ogni 14 giorni | Aggiornamento di stato fino alla risoluzione |
| 90 giorni | Obiettivo di risoluzione per la maggior parte delle vulnerabilità |

Potremmo richiedere estensioni per vulnerabilità complesse che richiedono
fix coordinati su più prodotti o vendor.

## Divulgazione Coordinata

Seguiamo una timeline di divulgazione di 90 giorni:
- Giorno 0: Tu segnali la vulnerabilità
- Giorni 1-90: Noi lavoriamo alla remediation
- Giorno 90: Divulgazione pubblica coordinata

**Estensioni:** Potremmo richiedere fino a 30 giorni aggiuntivi per:
- Fix complessi multi-componente
- Vulnerabilità hardware che richiedono coordinamento supply chain
- Coordinamento multi-vendor

**Divulgazione Anticipata:** Puoi divulgare prima se:
- Non rispondiamo entro 14 giorni
- Indichiamo nessuna intenzione di correggere
- La vulnerabilità è attivamente sfruttata

## Safe Harbor

Non perseguiremo azioni legali contro i ricercatori che:
- Agiscono in buona fede e si conformano a questa policy
- Evitano di accedere, modificare o eliminare dati utente
- Non interrompono i nostri servizi né danneggiano i nostri clienti
- Segnalano le vulnerabilità prontamente
- Permettono un tempo ragionevole per la remediation prima della divulgazione

Questo safe harbor si applica a potenziali violazioni di:
- Leggi su abuso informatico
- I nostri termini di servizio
- Requisiti di protezione dati (per accesso incidentale durante la ricerca)

## Riconoscimento

Manteniamo una Hall of Fame della Sicurezza su azienda.com/security/thanks
che riconosce i ricercatori che hanno aiutato a migliorare la nostra sicurezza.

Al momento non operiamo un programma di bug bounty a pagamento.
[OPPURE: Offriamo bounty tramite [piattaforma]. Vedi [link] per i dettagli.]

## Fuori Ambito

I seguenti sono fuori dall'ambito di questa policy:
- Social engineering di dipendenti o clienti
- Attacchi fisici alle nostre strutture
- Attacchi denial of service
- Risultati da scanner automatizzati senza impatto dimostrato
- Problemi in servizi di terze parti
- Vulnerabilità già segnalate

## Contatto

Team Sicurezza: security@azienda.com
Domande sulla Policy: security-policy@azienda.com
Chiave PGP: [link]

Ultimo Aggiornamento: [Data]

Checklist di Implementazione

Setup dell'Infrastruttura

CHECKLIST INFRASTRUTTURA CVD

CANALI DI CONTATTO:
[ ] security@azienda.com configurato e monitorato
[ ] Modulo web creato con campi richiesti
[ ] Chiave PGP generata e pubblicata
[ ] File security.txt distribuito (vedi guida separata)
[ ] Pagina /security o /security/report creata

PROCESSO INTERNO:
[ ] Team di triage identificato
[ ] Percorso di escalation definito
[ ] Sistema di tracking SLA in atto
[ ] Risposte template preparate
[ ] Processo di coordinamento divulgazione documentato

DOCUMENTAZIONE:
[ ] Policy CVD scritta e approvata
[ ] Policy pubblicata sul sito web
[ ] Procedure di gestione interne documentate
[ ] Template di comunicazione con ricercatori pronti
[ ] Pagina Hall of Fame creata (opzionale)

TEST:
[ ] Segnalazione test inviata internamente
[ ] Tracking tempi di risposta verificato
[ ] Processo di escalation testato
[ ] Coordinamento divulgazione testato

Template di Comunicazione con i Ricercatori

Conferma Ricezione (Giorno 0-3):

Oggetto: [Ticket #] - Segnalazione Vulnerabilità Ricevuta

Caro [Ricercatore],

Grazie per aver segnalato una potenziale vulnerabilità di sicurezza in
[Nome Prodotto]. Abbiamo ricevuto la tua segnalazione e le abbiamo
assegnato il numero di tracking [Ticket #].

Il nostro team di sicurezza esaminerà la tua sottomissione e fornirà una
valutazione iniziale entro 10 giorni lavorativi.

Per favore fai riferimento a [Ticket #] nelle corrispondenze future.

Domande? Rispondi a questa email o contatta security@azienda.com.

Cordiali saluti,
Team Sicurezza [Nome Azienda]

Valutazione Iniziale (Giorno 10):

Oggetto: [Ticket #] - Valutazione Iniziale Completata

Caro [Ricercatore],

Abbiamo completato la nostra valutazione iniziale della vulnerabilità
segnalata in [Nome Prodotto].

Riepilogo Valutazione:
- Severità: [Critica/Alta/Media/Bassa]
- Stato: [Confermata/In Indagine/Impossibile da Riprodurre]
- Versioni Interessate: [Elenco]
- Obiettivo Risoluzione: [Data, tipicamente entro 90 giorni]

Prossimi Passi:
[Descrizione dell'approccio di remediation pianificato]

Forniremo aggiornamenti di stato ogni 14 giorni. Data target di
divulgazione attuale: [Data].

Grazie per aiutare a migliorare la nostra sicurezza.

Cordiali saluti,
Team Sicurezza [Nome Azienda]

Notifica di Risoluzione:

Oggetto: [Ticket #] - Vulnerabilità Risolta

Caro [Ricercatore],

Abbiamo risolto la vulnerabilità che hai segnalato in [Nome Prodotto].

Dettagli della Risoluzione:
- Versione Fix: [Numero versione]
- Data di Rilascio: [Data]
- CVE ID: [Se assegnato]

Divulgazione Coordinata:
Pianifichiamo di pubblicare un advisory di sicurezza il [Data].

Vorresti essere accreditato nel nostro advisory?
[ ] Sì, accreditami come: [Nome/Handle]
[ ] Sì, accreditami anonimamente
[ ] Nessun credito necessario

Grazie per la tua divulgazione responsabile. Il tuo contributo
è stato aggiunto alla nostra Hall of Fame della Sicurezza su [URL].

Cordiali saluti,
Team Sicurezza [Nome Azienda]

Gestire Scenari Comuni

Scenario 1: Il Ricercatore Richiede Divulgazione Immediata

Situazione: Il ricercatore insiste su una timeline di 30 giorni invece di 90.

Risposta:

1. Spiega la tua timeline standard e il motivo (fix approfondito, test)
2. Offri un compromesso se possibile (60 giorni con aggiornamenti di stato)
3. Se il ricercatore insiste, escala internamente
4. Documenta il disaccordo e i tuoi sforzi in buona fede
5. Prioritizza il fix, potresti dover accelerare

Scenario 2: Segnalazione Duplicata

Situazione: Vulnerabilità già nota o precedentemente segnalata.

Risposta:

Oggetto: [Ticket #] - Segnalazione Duplicata

Caro [Ricercatore],

Grazie per la tua segnalazione riguardante [tipo di vulnerabilità] in
[Nome Prodotto].

Questo problema è stato precedentemente segnalato ed è attualmente in
fase di gestione. Ticket originale: [Riferimento].

Risoluzione attesa: [Data]

Anche se non possiamo offrire riconoscimento per segnalazioni duplicate,
apprezziamo la tua attenzione alla nostra sicurezza.

Cordiali saluti,
Team Sicurezza [Nome Azienda]

Scenario 3: Segnalazione Fuori Ambito

Situazione: La segnalazione copre qualcosa fuori dal tuo ambito CVD.

Risposta:

Oggetto: [Ticket #] - Fuori Ambito

Caro [Ricercatore],

Grazie per la tua segnalazione. Dopo la revisione, abbiamo determinato che
questo problema è fuori dall'ambito della nostra policy di divulgazione
delle vulnerabilità.

Motivo: [es. "Servizio di terze parti non controllato da noi"]

Se ritieni che questa valutazione sia errata, per favore rispondi con
contesto aggiuntivo.

Per problemi con [terza parte], per favore contattali a [contatto].

Cordiali saluti,
Team Sicurezza [Nome Azienda]

Scenario 4: Scoperto Sfruttamento Attivo

Situazione: Durante l'indagine, scopri che la vulnerabilità è in fase di sfruttamento.

Risposta:

1. Attiva la segnalazione ENISA (requisito 24 ore)
2. Informa il ricercatore del cambio di situazione
3. Accelera la remediation
4. Considera una divulgazione coordinata anticipata
5. Prepara la notifica ai clienti

Oggetto: [Ticket #] - Aggiornamento Urgente

Caro [Ricercatore],

Abbiamo scoperto uno sfruttamento attivo della vulnerabilità che hai
segnalato. Stiamo:

1. Accelerando la nostra timeline di remediation
2. Notificando le autorità competenti come richiesto
3. Preparando la comunicazione ai clienti

Dobbiamo coordinare la divulgazione urgentemente. Per favore contattaci a
[telefono/canale sicuro] per discutere la timeline.

NON divulgare pubblicamente in questo momento, farlo potrebbe aumentare
i danni agli utenti prima che le patch siano disponibili.

Contatto urgente: [Telefono/Signal]

Team Sicurezza [Nome Azienda]

Integrare CVD con la Segnalazione ENISA

Il tuo processo CVD deve connettersi al tuo obbligo di segnalazione ENISA:

ARRIVA LA SEGNALAZIONE DEL RICERCATORE
         │
         ▼
    TRIAGE & VALUTAZIONE
         │
         ├── Nessuno sfruttamento attivo ──→ Processo CVD standard
         │                                   (timeline 90 giorni)
         │
         └── Sfruttamento attivo ──→ ATTIVA SEGNALAZIONE ENISA
              rilevato                    │
                                         ▼
                                   Allarme Preventivo 24h
                                         │
                                         ▼
                                   Report Dettagliato 72h
                                         │
                                         ▼
                                   CVD Accelerato
                                   (coordina con ENISA)

Errori Comuni

Nessuna Policy Pubblicata

Problema: La policy esiste internamente ma non è pubblica.

Correzione: Pubblica a un URL individuabile. I ricercatori non possono seguire una policy che non possono trovare.

Timeline Irrealistiche

Problema: Promettere risposta in 7 giorni quando non puoi consegnare.

Correzione: Imposta impegni raggiungibili. Prometti meno, consegna di più.

Safe Harbor Mancante

Problema: Nessuna protezione legale per i ricercatori.

Correzione: Aggiungi linguaggio esplicito di safe harbor. Senza, i ricercatori potrebbero non segnalarti.

Trattare i Ricercatori come Minacce

Problema: Minacce legali, risposte aggressive, ignorare le segnalazioni.

Correzione: I ricercatori ti stanno aiutando. Trattali come partner.

Nessun Processo Interno

Problema: Policy pubblicata ma nessuno sa come gestire le segnalazioni.

Correzione: Documenta le procedure interne. Forma il team. Testa con simulazioni.

Checklist Policy CVD

CHECKLIST COMPLETEZZA POLICY CVD

AMBITO:
[ ] Prodotti coperti elencati
[ ] Elementi fuori ambito definiti
[ ] Ambito geografico chiaro (se rilevante)

CONTATTO:
[ ] Indirizzo email fornito
[ ] Modulo web disponibile
[ ] Chiave PGP pubblicata
[ ] security.txt distribuito
[ ] Canali di risposta monitorati

TIMELINE:
[ ] Timeline di conferma ricezione indicata
[ ] Timeline di valutazione indicata
[ ] Obiettivo di risoluzione indicato
[ ] Timeline di divulgazione indicata
[ ] Condizioni di estensione definite

LEGALE:
[ ] Dichiarazione safe harbor inclusa
[ ] Attività coperte definite
[ ] Requisiti di buona fede indicati

RICONOSCIMENTO:
[ ] Processo di credito spiegato
[ ] Hall of Fame (se applicabile)
[ ] Programma bounty (se applicabile)

PROCESSO:
[ ] Triage interno documentato
[ ] Percorso di escalation definito
[ ] Risposte template pronte
[ ] Integrazione ENISA pianificata

Guide Correlate

• Configurazione di security.txt per la Conformità CRA
• Segnalazione Vulnerabilità all'ENISA: Il Requisito delle 24 Ore
• Guida alle Sanzioni e all'Applicazione del CRA

Come CRA Evidence Aiuta

CRA Evidence include supporto al workflow CVD:

• Tracking ricezione segnalazioni: Registra e traccia le segnalazioni dei ricercatori
• Gestione timeline: Tracking automatico degli SLA
• Integrazione ENISA: Attiva la segnalazione quando viene rilevato sfruttamento
• Documentazione: Traccia di audit per la conformità normativa

Stabilisci il tuo processo CVD con craevidence.com.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato.