Vai al contenuto
Sicurezza

Politica di sicurezza

Divulgazione responsabile, gestione delle vulnerabilità e il nostro impegno per la sicurezza dei tuoi dati.

Ultimo aggiornamento: maggio 2026

01 Politica di divulgazione responsabile

InfoPeak valorizza la comunità di ricerca sulla sicurezza e accoglie la divulgazione responsabile delle vulnerabilità. Se scopri un problema di sicurezza in un servizio InfoPeak, ti invitiamo a segnalarcelo.

Segnala una vulnerabilità

security@infopeak.io

Per segnalazioni sensibili, richiedi la nostra chiave pubblica PGP.

02 Ambito

I seguenti servizi e asset rientrano nell'ambito della divulgazione responsabile:

  • infopeak.io - applicazione principale e sito web
  • auth.infopeak.io - servizio di autenticazione
  • InfoPeak Pass - estensione del browser
  • InfoPeak VPN - applicazioni mobili e desktop

03 Linee guida per la divulgazione

Chiediamo ai ricercatori di sicurezza di seguire queste linee guida:

  • Fornisci dettagli sufficienti per riprodurre la vulnerabilità.
  • Non accedere, modificare o eliminare dati di altri utenti.
  • Non eseguire attacchi denial-of-service o ingegneria sociale.
  • Concedici un tempo ragionevole (90 giorni) per risolvere il problema prima di una divulgazione pubblica.

04 Tempi di risposta

72 ore

Confermiamo la ricezione della tua segnalazione.

14 giorni

Forniamo una valutazione iniziale e i tempi previsti di risoluzione.

90 giorni

Puntiamo a risolvere tutte le vulnerabilità confermate entro questo periodo.

05 Safe Harbor

InfoPeak non intraprenderà azioni legali contro i ricercatori di sicurezza che scoprano e segnalino vulnerabilità in buona fede conformemente a questa politica. Consideriamo autorizzata la ricerca in sicurezza condotta nell'ambito di questa politica e non avvieremo azioni legali per il superamento di misure tecnologiche quando la ricerca è condotta in conformità con questa politica.

06 Risposta agli incidenti e notifica delle violazioni

In caso di incidente di sicurezza o violazione dei dati, InfoPeak segue queste procedure conformemente alla Direttiva NIS2 (UE) 2022/2555 e agli articoli 33 e 34 del GDPR:

  • Entro 24 ore: Avviso precoce al CSIRT nazionale competente (Computer Security Incident Response Team).
  • Entro 72 ore: Notifica completa dell'incidente all'autorità di controllo (GDPR) e al CSIRT (NIS2), inclusa valutazione dell'ambito e misure di mitigazione.
  • Senza indebito ritardo: Gli utenti interessati saranno informati via e-mail con informazioni chiare sulla natura della violazione, i dati coinvolti, le misure adottate e le azioni consigliate.
  • Entro 1 mese: Un rapporto finale è inviato alle autorità competenti con analisi delle cause e misure preventive.

07 Architettura di sicurezza

InfoPeak adotta le seguenti misure di sicurezza nell'ambito del nostro impegno per il Cyber Resilience Act (CRA):

  • Cifratura a riposo: AES-256-CBC per tutti i dati utente memorizzati.
  • Cifratura in transito: TLS 1.3 per tutte le connessioni.
  • Architettura zero-knowledge: Le chiavi di cifratura personali sono derivate lato client. InfoPeak non può accedere ai tuoi contenuti cifrati.
  • Solo hosting UE: Tutta l'infrastruttura si trova nell'Unione europea.
  • Aggiornamenti di sicurezza regolari: Dipendenze e infrastruttura sono monitorate e aggiornate continuamente.