BeGift
Accedi

Sicurezza

Vulnerability disclosure policy — ultima revisione 23 aprile 2026

1. Come segnalare una vulnerabilità

Se hai individuato una vulnerabilità di sicurezza in BeGift, ti chiediamo di segnalarla privatamente prima di renderla pubblica. Ci impegniamo a rispondere entro 72 ore dalla ricezione.

Email: security@begift.app

Per comunicazioni particolarmente sensibili, indicacelo nel primo messaggio: ti forniremo una chiave PGP dedicata.

2. Cosa includere nella segnalazione

  • Descrizione della vulnerabilità
  • Passi per riprodurla (Proof of Concept)
  • Impatto stimato (cosa potrebbe fare un attaccante)
  • Il tuo contatto per eventuali domande (facoltativo se vuoi restare anonimo)
  • Se vuoi essere nominato nel nostro hall of fame, indicalo

3. Safe harbor — impegni verso chi segnala

A condizione che il ricercatore operi in buona fede, rispetti le regole sotto ed eviti danni agli utenti, BeGift:

  • Non persegue azioni legali per l'attività di ricerca
  • Non richiede risarcimenti per eventuali interruzioni accidentali lievi
  • Accetta segnalazioni anonime
  • Risponde entro 72 ore e fornisce aggiornamenti periodici
  • Può riconoscere pubblicamente il ricercatore nell'hall of fame

4. Regole per il ricercatore

Per poter beneficiare del safe harbor, ti chiediamo di:

  • Non accedere a dati personali di altri utenti oltre il minimo necessario a dimostrare la vulnerabilità
  • Non modificare né cancellare dati di altri utenti
  • Non eseguire attacchi DoS volumetrici o social engineering
  • Non divulgare la vulnerabilità pubblicamente prima della nostra conferma di fix o di 90 giorni dalla segnalazione (coordinated disclosure)
  • Segnalare tempestivamente e smettere i test appena la vulnerabilità è confermata
  • Non combinare con phishing, spamming o altre attività illegali

5. In scope / out of scope

In scope

  • begift.app e tutti i sottodomini
  • API BeGift (/api/*)
  • Service Worker e flow Web Push
  • Flusso di autenticazione
  • Logica di autorizzazione e isolamento tra utenti

Out of scope

  • Infrastruttura dei nostri fornitori (Supabase, Vercel, Anthropic)
  • Vulnerabilità che richiedono controllo fisico del device della vittima
  • Self-XSS senza escalation
  • Missing security headers senza PoC di impatto
  • Bug puramente funzionali senza implicazioni di sicurezza
  • Rate limit su endpoint già con rate limit applicativo documentato
  • Clickjacking su pagine non-sensitive
  • Email spoofing senza PoC che aggira SPF/DKIM/DMARC

6. Premi

Al momento BeGift non offre un programma formale di bug bounty con ricompense monetarie. Riconosciamo con un ringraziamento pubblico nella sezione hall of fame (se il ricercatore lo desidera) e forniamo swag simbolici. Un programma retribuito potrà essere introdotto dopo il lancio commerciale.

7. Hall of fame

Nessuna segnalazione ancora. Questa sezione elencherà i ricercatori che hanno contribuito alla sicurezza di BeGift (solo con loro consenso).

8. Contatti

  • Segnalazioni di sicurezza: security@begift.app
  • Privacy e protezione dati: privacy@begift.app
  • Segnalazioni di contenuti (DSA): abuse@begift.app
  • security.txt: /.well-known/security.txt
← Torna alla home