logo

Prodotti

Prodotti owerview

Copertura

Hai bisogno di aiuto?

Team vendite|Richiedi la tua SIM gratuita

Soluzioni

Soluzioni owerview

Testarlo nella vostra soluzione?

Team vendite|Ottieni la tua SIM gratuitamente

Risorse

Risorse owerview

Cercate supporto?

Team vendite|Visita il Centro di assistenza

Tariffe

Politica di divulgazione responsabile

Ultimo aggiornamentoMarch 31, 2026

Simbase si impegna a mantenere la sicurezza dei propri sistemi e dei dati dei propri clienti. Forniamo servizi di connettività IoT a livello globale e comprendiamo l'importanza cruciale di salvaguardare la nostra piattaforma sviluppata internamente, su cui i nostri clienti fanno affidamento per gestire i loro dispositivi. Gestiamo un programma di divulgazione responsabile e un programma attivo di bug bounty per premiare i ricercatori di sicurezza che ci aiutano a identificare e risolvere le vulnerabilità.

Il nostro impegno

Monitoriamo e miglioriamo continuamente le nostre misure di sicurezza per garantire l'integrità e l'affidabilità dei nostri servizi. Se ritenete di aver trovato una vulnerabilità di sicurezza all'interno della nostra piattaforma, vi invitiamo a informarci con discrezione e vi promettiamo di indagare su tutte le segnalazioni legittime in modo tempestivo e approfondito.

Come segnalare una vulnerabilità di sicurezza

Se avete scoperto un potenziale problema di sicurezza, condividetelo con noi seguendo questi passaggi:

  1. Inviate i vostri risultati a security@simbase.com.

  2. Includete informazioni sufficienti a riprodurre il problema, in modo da poterlo risolvere il più rapidamente possibile. Le vulnerabilità complesse possono richiedere ulteriori spiegazioni rispetto a quelle meno complesse.

  3. Comunicateci la vulnerabilità in modo confidenziale e non condividetela con altri finché non avremo avuto la possibilità di affrontarla.

Divulgazione della sicurezza: Le nostre informazioni di contatto sulla sicurezza sono pubblicate all'indirizzo simbase.com/.well-known/security.txt in conformità alla RFC 9116, che può essere utilizzata anche per segnalare le vulnerabilità di sicurezza.

La nostra promessa

  • La ricezione della segnalazione di vulnerabilità avverrà entro 32 ore.

  • Comunicheremo con voi per capire la portata della vulnerabilità e lavoreremo con voi per convalidare e risolvere il problema.

  • Il vostro rapporto sarà trattato con la massima riservatezza e non condivideremo i vostri dati personali con terzi senza il vostro consenso.

  • Vi terremo informati sui nostri progressi durante le fasi di indagine e risoluzione.

  • Il nostro obiettivo è quello di risolvere qualsiasi vulnerabilità verificata entro un lasso di tempo ragionevole e rilasceremo un aggiornamento non appena possibile.

Programma Bug Bounty

Simbase ricompensa le segnalazioni di vulnerabilità di sicurezza valide e qualificate attraverso il nostro programma bug bounty. Collaboriamo con ricercatori di sicurezza di tutto il mondo per identificare e risolvere i problemi di sicurezza. Le segnalazioni accettate possono avere diritto a ricompense in denaro e a ulteriori riconoscimenti.

Ambito di applicazione

In ambito

Le seguenti aree sono idonee a ricevere ricompense per bug bounty:

  • simbase.com e tutti i sottodomini (esclusi i servizi ospitati da terzi)

  • API REST endpoint e meccanismi di autenticazione

  • Cruscotto e sistemi di gestione dei conti

  • Sistemi di autenticazione (SSO, OAuth, chiavi API, convalida dei token)

  • Infrastruttura IoT (protocolli di comunicazione dei dispositivi, sicurezza della rete, trasmissione dei dati)

Fuori campo

I seguenti temi sono non idonei a ricevere ricompense per le taglie:

  • Risultati di strumenti automatici o di scansioni senza convalida manuale.

  • Applicazioni, servizi o dispositivi di terze parti che interagiscono con la nostra piattaforma

  • Vulnerabilità di negazione del servizio (DoS, DDoS)

  • Applicazioni mobili (a meno che non siano esplicitamente incluse in un programma bounty specifico)

  • Attacchi rivolti ai clienti o agli utenti finali di Simbase (non ai nostri sistemi)

  • Bypass di limitazione della velocità senza impatto dimostrabile

  • Intestazioni di sicurezza HTTP mancanti senza impatto sfruttabile

  • Problemi di configurazione SPF, DKIM o DMARC

  • Vulnerabilità dell'iniezione di contenuto senza sfruttamenti confermati

  • Problemi che richiedono l'accesso fisico all'infrastruttura

  • Attacchi di social engineering o phishing ai danni di dipendenti Simbase

Ammissibilità

Per qualificarsi per le ricompense di bug bounty, è necessario:

  • Non essere un dipendente attuale o precedente di Simbase, appaltatore o consulente (negli ultimi 6 mesi)

  • Non essere ubicati in una giurisdizione sanzionata dove si applicano le restrizioni legali

  • Avere almeno 18 anni (o avere il consenso dei genitori e l'autorizzazione scritta di un tutore legale)

  • Rispettare tutte le leggi vigenti nella vostra giurisdizione

  • Sii il primo giornalista della vulnerabilità (la taglia va alla prima segnalazione valida ricevuta)

  • Seguire questa politica in toto, compresi i requisiti di riservatezza

Premi

Le segnalazioni di vulnerabilità qualificate ricevono:

  • $200 USD (o equivalente) in credito di piattaforma su Simbase

  • 10 carte SIM gratuite

Criteri di ammissibilità al premio:

  • La vulnerabilità deve essere precedentemente non segnalata a Simbase.

  • La vulnerabilità deve avere un impatto dimostrabile sulla sicurezza.

  • Il rapporto deve includere dettagli sufficienti a riprodurre il problema.

  • Il ricercatore deve seguire integralmente questa politica

  • Simbase si riserva il diritto di determinare la gravità e l'idoneità dei premi.

Classificazione della gravità (per il contesto):

  • Critico: Esecuzione di codice in remoto, aggiramento dell'autenticazione, accesso ai dati sensibili dei clienti

  • Alto: Escalation dei privilegi, esposizione significativa dei dati, IDOR con accesso a dati sensibili

  • Media: XSS memorizzato, CSRF su azioni sensibili, divulgazione di informazioni sui sistemi interni

  • Basso: XSS riflesso con impatto limitato, messaggi di errore verbosi, fughe di informazioni minori

Nota: Simbase si riserva il diritto di adeguare le ricompense in base alla gravità e all'impatto. Le segnalazioni di gravità bassa o informativa possono ricevere un riconoscimento senza ricompensa.

Porto sicuro

I ricercatori di sicurezza che si attengono a questa politica in buona fede sono protetti dalla nostra clausola di approdo sicuro:

  • Noi non intraprendere azioni legali nei confronti dell'utente per le ricerche sulla sicurezza condotte in conformità con la presente politica

  • Riteniamo che le ricerche autorizzate che aderiscono a questa politica siano legittime ai sensi degli statuti legali applicabili.

  • Vi chiediamo di astenersi da qualsiasi attività che possa danneggiare Simbase o i nostri clienti, tra cui, ma non solo:

    • Violazioni della privacy o accesso non autorizzato ai dati personali

    • Distruzione o corruzione dei dati

    • Interruzione o degrado dei servizi

    • Sfruttamento eccessivo delle vulnerabilità al di là di quanto necessario per dimostrare l'impatto.

    • Divulgazione al pubblico prima di aver avuto una ragionevole opportunità di ricucire (minimo 90 giorni)

Simbase si impegna a collaborare con la comunità della sicurezza per trovare e risolvere i problemi di sicurezza all'interno dei nostri servizi. Insieme, possiamo mantenere il nostro ecosistema digitale condiviso sicuro e protetto.

Contatto

Per segnalazioni di vulnerabilità di sicurezza o domande su questa politica:

Apprezziamo la vostra divulgazione responsabile e il vostro contributo alla sicurezza della piattaforma Simbase.