Trust
Bug bounty disclosure policy
Accogliamo la disclosure coordinata di vulnerabilità. Segnala a security@legalaudit.ch.
In ambito
- Dominio legalaudit.ch e sottodomini di LegalAudit SA.
- Logica applicativa autenticata e non.
- Problemi su confini di autorizzazione/tenancy.
- Injection server-side, SSRF, deserializzazione, race condition.
- Problemi di integrità dossier, primitive di tamper sull'audit chain.
Fuori ambito
- DoS, attacchi volumetrici, brute force.
- Self-XSS, header best-practice mancanti senza exploit funzionante.
- Social engineering di staff o clienti LegalAudit.
- Attacchi fisici a uffici o data center.
- Servizi terzi (Stripe, AWS) — segnala direttamente a loro.
Tier di reward (placeholder — programma formale Q3 2026)
| Severità | Ricompensa (CHF) |
|---|---|
| Bassa | 100+ |
| Media | 500+ |
| Alta | 2000+ |
| Critica | 5000+ |
Segnalazione
- Email security@legalaudit.ch con passi di riproduzione chiari.
- Usa la chiave PGP per qualsiasi payload contenente dati cliente.
- Non esfiltrare dati oltre lo stretto necessario alla prova.
- Concedi finestra di 90 giorni prima della disclosure pubblica.
Ricerca in buona fede entro i confini di questa policy non comporta azioni legali.
Documento informativo di LegalAudit SA. Le dichiarazioni riflettono lo stato attuale dei controlli e sono riviste trimestralmente. Non costituiscono garanzia contrattuale salvo recepimento in accordo firmato. Per termini vincolanti richiedi il DPA controfirmato a privacy@legalaudit.ch.