Politica di sicurezza
Ultimo aggiornamento: 2026-05-13
Prendiamo sul serio la sicurezza. Questa politica spiega come segnalare una vulnerabilità, cosa promettiamo in cambio e cosa rientra nell'ambito. I metadati canonici per i ricercatori di sicurezza si trovano anche su /.well-known/security.txt (RFC 9116).
1. Come segnalare
Invia un'email a [email protected] - chiave PGP su richiesta - oppure apri una segnalazione privata su https://hackerone.com/elido. Entrambi i percorsi raggiungono la stessa coda di reperibilità. Includi i passaggi per la riproduzione, l'URL/endpoint interessato e l'impatto osservato. Non pubblicare dettagli finché non avremo coordinato una correzione.
2. SLA di risposta
Prima risposta: entro 24 ore. Classificazione con valutazione della gravità: entro 5 giorni lavorativi. Obiettivo di risoluzione: 14 giorni per Alta/Critica, 30 giorni per Media/Bassa. Se una correzione richiede più tempo (ad esempio, l'attesa di una dipendenza di terze parti), ti terremo aggiornato settimanalmente.
3. Nell'ambito
elido.app (marketing), app.elido.app (dashboard), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (livelli di reindirizzamento), docs.elido.app, le app Elido iOS e Android, i pacchetti npm elidoapp/elido-* e il server Elido MCP (packages/mcp-server).
4. Fuori ambito
Servizi di terze parti che utilizziamo (il nostro livello di autenticazione e provider di identità, il nostro provider di chat di supporto, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - si prega di segnalare direttamente a loro. Brute-forcing di endpoint con limitazione di frequenza (li testiamo noi stessi). Ingegneria sociale del personale Elido. Attacchi volumetrici / DoS. Risultati che dipendono dall'installazione di software dannoso da parte della vittima al di fuori di Elido. Reindirizzamento aperto tramite il link breve stesso - questo è il servizio.
5. Porto sicuro
Se ti impegni in buona fede a rispettare questa politica, non intraprenderemo azioni legali e collaboreremo con te per comprendere e risolvere il problema. Nello specifico: test su account di tua proprietà, non esfiltrare dati di produzione, non impattare su altri clienti e non divulgare pubblicamente prima che abbiamo rilasciato una correzione.
6. Ricompense
Elido gestisce un programma di bug bounty a pagamento su HackerOne. Ricompense indicative (USD): Critica $3000, Alta $1500, Media $500, Bassa $200, Triviale equivalente a $50 in gadget. L'importo finale dipende dall'impatto, dalla novità e dalla qualità della segnalazione. Elenchiamo anche le divulgazioni valide non retribuite su /legal/security-acknowledgments previo tuo consenso.
7. Ringraziamenti
Attribuiamo pubblicamente il merito ai ricercatori che ci aiutano su /legal/security-acknowledgments - pseudonimo o nome reale a tua scelta, e solo dopo che il problema è stato risolto.