Vai al contenuto principale
satooB

Politica di sicurezza

Ultimo aggiornamento: 6 maggio 2026Data di efficacia: All'accettazione

Prendiamo sul serio la sicurezza dei nostri utenti e della nostra infrastruttura e accogliamo le segnalazioni di ricercatori di sicurezza indipendenti che agiscano in buona fede. La presente politica descrive come riceviamo, classifichiamo e gestiamo le segnalazioni di vulnerabilità, e cosa ci aspettiamo in cambio dai ricercatori.

Una versione leggibile da macchina dei recapiti riportati di seguito è pubblicata, in conformità alla RFC 9116, all'indirizzo /.well-known/security.txt.

1. I nostri impegni

Ci impegniamo a :

  • fornire un canale chiaro e monitorato per le segnalazioni di vulnerabilità ;
  • riscontrare le segnalazioni in modo tempestivo e trattarle con cura ;
  • coordinare le tempistiche di divulgazione in modo trasparente ;
  • non avviare azioni legali contro i ricercatori che rispettano la presente politica ;
  • riconoscere i ricercatori nella nostra Hall of Fame (su loro richiesta).

2. Perimetro

Nel perimetro :

  • La piattaforma satooB — satoob.com e qualsiasi sottodominio gestito da Konatamo LLC, compreso il sito di marketing pubblico, le dashboard, il portale cassa del Commerciante, le superfici kiosk in negozio e le landing pubbliche per Voucher, cashback e Quest.
  • Le API pubbliche e i webhook di satooB documentati sotto /api/* e le server action equivalenti esposte dalla piattaforma.
  • I repository del codice sorgente sotto l'organizzazione Konatamo su GitHub (satoob e qualsiasi altro repository pubblico, una volta pubblicato).

Fuori dal perimetro :

  • I servizi di terze parti da cui dipendiamo ma che non controlliamo (Vercel, Supabase, Stripe, Cloudflare, Resend, PostHog, Mercury Bank, Hostinger, Google Workspace). Vi invitiamo a segnalare le vulnerabilità di tali servizi direttamente ai team di sicurezza dei rispettivi fornitori.
  • Attacchi volumetrici (denial of service, distributed denial of service, flooding di livello 7).
  • Ingegneria sociale ai danni del personale, dei partner o dei clienti di Konatamo LLC.
  • Attacchi fisici ai nostri uffici o alle sedi dei nostri fornitori.
  • Segnalazioni relative ad header di sicurezza mancanti, rate limit assenti o configurazioni TLS lacunose senza impatto sfruttabile sui dati degli utenti, sull'integrità degli account o sulla disponibilità della piattaforma.

3. Come segnalare

Vi preghiamo di scrivere a security@satoob.com indicando :

  1. Una descrizione chiara della vulnerabilità, compreso l'endpoint o il componente interessato.
  2. I passaggi di riproduzione — concreti, con una proof-of-concept minimale ove possibile.
  3. L'impatto da voi stimato (riservatezza / integrità / disponibilità) e una severità suggerita (Critica / Alta / Media / Bassa).
  4. I vostri recapiti e l'eventuale pseudonimo che desiderate utilizzare qualora vi riconoscessimo nella Hall of Fame.

Una chiave PGP per le segnalazioni cifrate potrà essere pubblicata in futuro all'indirizzo /.well-known/pgp-key.txt ; nel frattempo, evitate di includere dettagli grezzi di exploit in e-mail non cifrate.

4. La nostra risposta

Quando riceviamo una segnalazione :

  • Entro cinque (5) giorni lavorativi — confermiamo la ricezione della vostra segnalazione.
  • Entro quindici (15) giorni lavorativi — forniamo una prima triage, includendo una valutazione preliminare della severità ed eventuali domande di chiarimento.
  • Entro novanta (90) giorni — puntiamo a risolvere la vulnerabilità, distribuire la correzione e confermarvi la chiusura del caso. Qualora la correzione richieda più tempo (dipendenze di terzi, modifiche architetturali non banali), vi terremo informati sull'avanzamento.

5. Safe harbor

Konatamo LLC non avvierà né sosterrà azioni legali nei vostri confronti per la ricerca di sicurezza condotta in buona fede e in conformità alla presente politica, inclusi (senza limitazione) :

  • L'accesso esclusivamente ai sistemi nel perimetro e solo ai dati minimi necessari a dimostrare la vulnerabilità.
  • L'astensione da qualsiasi azione che possa avere impatto su altri utenti (per esempio, test di denial of service in produzione, escalation di privilegi che si propaghi a tenant non correlati, esfiltrazione di più dati del necessario per dimostrare il problema).
  • L'astensione dalla divulgazione pubblica della vulnerabilità prima che abbiamo avuto un'opportunità ragionevole per rimediarvi.
  • La restituzione, la distruzione o l'astensione dalla divulgazione di qualsiasi dato consultato durante la ricerca.

Qualora non siate certi se un determinato approccio di test rientri nel safe harbor, contattateci preventivamente all'indirizzo security@satoob.com.

6. Programma di ricompense

Non operiamo attualmente un programma di bug bounty retribuito. Potremmo valutarlo in futuro ; nel frattempo :

  • Riconoscimento — le segnalazioni significative possono essere accreditate nella nostra Hall of Fame (Sezione 7) su richiesta del ricercatore.
  • Merchandising e crediti — qualora una segnalazione comporti un miglioramento significativo della piattaforma, possiamo a nostra discrezione offrire merchandising firmato Konatamo, crediti in satoPOINTS o una lettera pubblica di riconoscimento.
  • Divulgazione coordinata — siamo lieti di redigere insieme al ricercatore una pubblicazione di divulgazione una volta distribuita la correzione.

7. Hall of Fame

Manteniamo questa sezione per riconoscere pubblicamente i ricercatori le cui divulgazioni responsabili hanno migliorato la sicurezza della piattaforma satooB. L'elenco riportato di seguito è attualmente vuoto — siamo impazienti di poterli accreditare presto.

8. Contatto

Indirizzo postale (per le notifiche legali) : Konatamo LLC, 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA.