Politica sui test di sicurezza

Panoramica

Credenti impegna a garantire i più elevati standard di sicurezza informatica, autenticazione senza password e controllo degli accessi Zero Trust. La nostra piattaforma protegge l'accesso degli utenti a livello di accesso al sistema operativo, a livello di applicazione e a livello di infrastruttura di identità.

Sosteniamo l'esecuzione di test di sicurezza e test di penetrazione condotti in modo responsabile, controllato e autorizzato. La presente Politica sui test di sicurezza definisce l'ambito consentito, le attività vietate e i requisiti di governance per i test Credenti e sui servizi Credenti .

Importante: la presente politica si applica specificatamente ai clienti e alle terze parti autorizzate che effettuano test di sicurezza sui Credenti e sui servizi Credenti . Essa non descrive né limita le pratiche di sicurezza interne Credenti. Credenti un programma di sicurezza completo e a più livelli che comprende un’ampia gamma di metodologie di test e convalida, quali pratiche di sviluppo sicuro, analisi statica e dinamica, test di penetrazione interni ed esterni e monitoraggio continuo della sicurezza, che esulano dall’ambito della presente politica.

Ambito di copertura

La presente politica si applica a tutti Credenti e servizi Credenti , tra cui:

  • Piattaforme di autenticazione senza password
  • Soluzioni sicure per l'accesso alle postazioni di lavoro e ai dispositivi
  • Servizi di gestione delle identità e degli accessi (IAM)
  • Estensioni del browser e agenti endpoint
  • Componenti di autenticazione e accesso del sistema operativo, tra cui i provider di credenziali di Windows, i pacchetti di autenticazione, le integrazioni di accesso per macOS, i moduli PAM di Linux e altri meccanismi di pre-accesso o di sblocco della workstation
  • API, servizi di backend e infrastruttura di autenticazione
  • Carichi di lavoro in container, immagini di macchine virtuali e artefatti di distribuzione
  • Implementazioni in loco, su cloud, ibride e in modalità air-gapped

Test di sicurezza consentiti

Credenti test di sicurezza controllati, non intrusivi e di tipo "black-box", che valutano il comportamento del sistema senza accedere all'implementazione interna o alla logica proprietaria.

Attività consentite

  • Test di penetrazione su sistemi black-box
  • Test di sicurezza della rete e del perimetro
  • Test delle API tramite interfacce documentate
  • Convalida del flusso di autenticazione e autorizzazione
  • Configurazione e verifica delle politiche
  • Analisi non distruttiva delle vulnerabilità

Questi approcci sono in linea con i moderni principi di validazione Zero Trust, in base ai quali i sistemi vengono testati esternamente senza esporre la struttura interna né compromettere i meccanismi di garanzia dell'identità.

Metodologie di prova e limitazioni

Credenti approcci di test di sicurezza in linea con il modello Zero Trust, in cui i sistemi vengono valutati esternamente senza rivelare i dettagli dell'implementazione interna.

Metodologia consentita

  • Test black-box: test eseguiti senza avere accesso al codice sorgente, ai file binari o alla struttura interna del sistema

Metodologie soggette a restrizioni

  • Test white-box: test che richiedono l'accesso al codice sorgente, all'architettura interna o ai dettagli di implementazione
  • Test gray-box: test che si basano su una conoscenza parziale dei meccanismi interni del sistema, delle API o della struttura
  • Test statici di sicurezza delle applicazioni (SAST): analisi a livello di codice, compresa la revisione del codice sorgente, la decompilazione dei file binari o il reverse engineering

Tali metodologie soggette a restrizioni comportano intrinsecamente l'accesso o l'analisi di logiche proprietarie, meccanismi di autenticazione o integrazioni di accesso al sistema operativo e, pertanto, non sono consentite senza l'esplicita autorizzazione scritta da parte di Credenti.

Attività vietate

Al fine di proteggere l'architettura di autenticazione senza password Credenti, le integrazioni con i sistemi di accesso dei sistemi operativi e i meccanismi di sicurezza proprietari, sono severamente vietate le seguenti attività.

Reverse engineering e analisi del codice

  • Decompilare, disassemblare, decodificare o effettuare il reverse engineering di qualsiasi componente del Software
  • Estrazione o analisi di file binari, eseguibili o estensioni del browser
  • Verifica delle immagini dei container, delle immagini delle macchine virtuali o degli artefatti di distribuzione
  • Debug, strumentazione o analisi della memoria
  • Decompilazione, ispezione o analisi dei componenti di autenticazione e accesso del sistema operativo, inclusi i provider di credenziali di Windows, i pacchetti di autenticazione, le integrazioni di accesso di macOS, i moduli PAM di Linux e i relativi meccanismi di autenticazione

Analisi basata sull'intelligenza artificiale ed elaborazione esterna

  • Caricamento di software, file binari, artefatti o risultati su piattaforme di intelligenza artificiale (IA) o di apprendimento automatico
  • Invio Credenti a strumenti di analisi del codice o ad ambienti SaaS esterni
  • Utilizzo di servizi di terze parti che richiedono il caricamento esterno di file binari, codice o artefatti proprietari

Analisi dell'architettura interna

  • Tentativo di ricavare o ricostruire il codice sorgente
  • Tentativo di definire l'architettura di sistema, i controlli di sicurezza o la logica di autenticazione
  • Tentativi di scoprire i meccanismi di gestione delle credenziali o i flussi di lavoro proprietari

Test di disturbo o dolosi

  • Attacchi di tipo «denial-of-service» (DoS o DDoS)
  • Tentativi di sottrazione di dati
  • Elevazione non autorizzata dei privilegi
  • Movimento laterale al di fuori dell'ambito autorizzato
  • Interferenza con i sistemi di produzione o con l'accesso degli utenti

Condivisione non autorizzata o accesso da parte di terzi

  • Condivisione di software, materiali o accessi con soggetti terzi non autorizzati
  • Utilizzo di strumenti o piattaforme che richiedono il caricamento esterno di codice o file binari
  • Consentire a fornitori o tester non autorizzati di accedere Credenti

Requisiti per l'autorizzazione ai test

Tutti i test di sicurezza devono essere espressamente autorizzati per iscritto da Credenti della loro esecuzione.

Requisiti

  • Ambito, sistemi e tempistiche ben definiti
  • Identificazione dell'ente responsabile delle prove, sia esso interno o esterno
  • Comunicazione degli strumenti e delle metodologie da utilizzare
  • Identificazione degli ambienti di destinazione
  • Accordo di adesione al Contratto di licenza con l'utente finale (EULA) Credenti e alla presente Politica sui test di sicurezza

È severamente vietato effettuare test non autorizzati.

Controlli relativi ai test effettuati da terzi

Se i test vengono effettuati da una terza parte:

  • Il soggetto terzo deve essere approvato da Credenti
  • Il soggetto terzo deve essere vincolato da obblighi di riservatezza e di non divulgazione
  • Il soggetto terzo deve rispettare integralmente il Contratto di licenzacon l'utente finale (EULA) Credenti e la presente Politica sui test di sicurezza

Il Cliente rimane pienamente responsabile di tutte le azioni compiute dai tester di terze parti.

Trattamento dei dati e riservatezza

Tutti i risultati dei test, inclusi i registri, i risultati e i prodotti, sono considerati informazioni riservate.

Requisiti

  • Non è consentita la divulgazione al pubblico senza previa autorizzazione scritta
  • Non è consentito caricare contenuti su piattaforme esterne o di terze parti
  • Non serve a nulla per l'analisi della concorrenza o lo sviluppo dei prodotti
  • Conservazione sicura e accesso controllato in ogni momento

Comunicazione delle vulnerabilità

Credenti la segnalazione responsabile delle vulnerabilità di sicurezza.

Segnala le vulnerabilità

E-mail: credenti

Si prega di includere:

  • Descrizione dettagliata del problema
  • Passaggi per riprodurre il problema
  • Valutazione d'impatto
  • Prove a sostegno, quali registri, schermate o tracciati

Clausola di salvaguardia

Credenti non Credenti azioni legali nei confronti dei ricercatori nel campo della sicurezza che:

  • Agire in buona fede
  • Rispettare la presente politica
  • Evitare di utilizzare i dati oltre quanto necessario ai fini della convalida
  • Non violare le leggi vigenti né compromettere i dati degli utenti

Allineamento tra Zero Trust e sicurezza senza password

La piattaforma Credentisi basa su:

  • Autenticazione senza password e senza segreti condivisi
  • Verifica dell'identità resistente al phishing
  • Controllo degli accessi basato sui dispositivi e sul contesto

I test di sicurezza devono rispettare tali controlli e non devono tentare di aggirare o indebolire i meccanismi di verifica dell'identità al di fuori degli scenari approvati.

Applicazione

Le violazioni della presente politica possono comportare:

  • Sospensione immediata dell'accesso
  • Risoluzione dei contratti
  • Azione legale ai sensi della normativa vigente
  • Applicazione delle norme in materia di proprietà intellettuale e degli obblighi di riservatezza