Responsible Vulnerability Disclosure
Navigazione Libera del Golfo S.p.A. si impegna a garantire la sicurezza e l’integrità dei propri servizi digitali e delle proprie infrastrutture.
Accogliamo segnalazioni responsabili di potenziali vulnerabilità di sicurezza che possano interessare i nostri siti web, applicazioni o sistemi, purché tali segnalazioni rispettino le linee guida riportate di seguito.
Ambito di applicazione
La presente policy si applica a:
Siti web e applicazioni web pubblicamente accessibili gestiti da Navigazione Libera del Golfo S.p.A.
Servizi online di proprietà e sotto il controllo diretto della Società
La policy non si applica a:
Servizi di terze parti non direttamente controllati
Test di tipo Denial of Service (DoS/DDoS)
Attività di social engineering, phishing o test di sicurezza fisica
Linee guida per la segnalazione responsabile
In caso di individuazione di una potenziale vulnerabilità, si richiede di:
Non sfruttare la vulnerabilità oltre quanto strettamente necessario a verificarne l’esistenza
Non accedere, modificare, cancellare o esfiltrare dati
Non interrompere o degradare i servizi
Non divulgare pubblicamente la segnalazione prima della nostra valutazione
Fornire dettagli tecnici sufficienti per consentire l’analisi
La segnalazione dovrebbe includere, ove possibile:
Descrizione chiara del problema
URL o sistemi coinvolti
Passaggi per la riproduzione
Eventuale Proof of Concept
Modalità di segnalazione
Le segnalazioni di sicurezza possono essere inviate a:
ufficioced@nlg.it
Oggetto consigliato: Security Vulnerability Report
Tutte le segnalazioni saranno valutate dal nostro team tecnico nell’ambito dei processi interni di sicurezza.
Bug Bounty e compensi
Navigazione Libera del Golfo S.p.A. non dispone di alcun programma di bug bounty, pubblico o privato.
L’invio di una segnalazione non dà diritto ad alcun compenso economico, ricompensa o bounty, indipendentemente dalla validità o dalla gravità della vulnerabilità segnalata.
Safe Harbor legale
Qualora la segnalazione venga effettuata in buona fede e nel rispetto della presente policy, la Società non intraprenderà azioni legali nei confronti del segnalante.
La presente tutela non si applica a:
Attività dolose o malevole
Sfruttamento della vulnerabilità oltre la semplice verifica
Tentativi di estorsione o richieste di compenso
Ringraziamenti
Ringraziamo la comunità della sicurezza informatica per il contributo al miglioramento della sicurezza dei sistemi digitali.
Ultimo aggiornamento: gennaio 2026
