Ultimo aggiornamento: 22 maggio 2026
Accogliamo segnalazioni da ricercatori di sicurezza. Questa pagina descrive come segnalare una vulnerabilità e cosa aspettarsi dalla nostra risposta. L'equivalente machine-readable conforme a RFC 9116 è disponibile su /.well-known/security.txt.
Scrivi a security@upinity.com con: descrizione della vulnerabilità, endpoint o componente interessato, passi di riproduzione, e (se applicabile) un proof-of-concept. Non rendere pubblica una vulnerabilità prima che abbiamo avuto la possibilità di acquisirla e correggerla.
In scope: upinity.com (sito marketing), app.upinity.com (applicazione SaaS), go.powerb.swiss (istanza Mautic che gestisce i nostri form). Out of scope: social engineering o phishing del personale POWERB, attacchi denial-of-service o volumetrici, vulnerabilità in servizi di terze parti su cui ci appoggiamo (Stripe, provider hosting — segnalale direttamente a loro).
Riconosciamo nuove segnalazioni entro 2 giorni lavorativi. Valutazione iniziale e classificazione di severity entro 5 giorni lavorativi. Tempistica di fix o mitigazione dipende dalla severity ed è comunicata nella nostra risposta di acquisizione.
Attualmente non operiamo un bug bounty a pagamento. I ricercatori che segnalano vulnerabilità valide in modo responsabile sono accreditati su una hall of fame pubblica (con il loro consenso) e ricevono una lettera di riconoscimento scritta.
Lavoriamo per allinearci ai controlli SOC 2 e alle pratiche ISO 27001. La conformità GDPR / nLPD svizzera è dettagliata nella nostra Privacy Policy. Certificati di compliance specifici possono essere richiesti a sales@upinity.com sotto NDA.
Non perseguiremo legalmente i ricercatori che seguono questa policy, agiscono in buona fede, non accedono o modificano dati oltre il necessario per dimostrare la vulnerabilità, e non impattano la disponibilità del servizio.