Politica di sicurezza

La sicurezza dei dati della nostra community è la nostra priorità. Questa pagina spiega come segnalare una vulnerabilità e come rispondiamo.

Aggiornato il 17 maggio 2026

1. Segnalare una vulnerabilità

Se scopri una vulnerabilità di sicurezza, scrivici a security@aukilo.com (oppure a contact@aukilo.com con «[SECURITY]» nell'oggetto).

Confermiamo la ricezione entro 72 ore lavorative e ti aggiorniamo sugli sviluppi.

Per accelerare il triage, includi se possibile:

  • una descrizione chiara della vulnerabilità e del suo impatto;
  • i passi per riprodurla;
  • la versione dell'app o l'URL interessato;
  • il tuo nickname se desideri essere accreditato·a.

2. Ambito

Questa politica copre:

  • il sito web e i sottodomini di aukilo.com;
  • l'app mobile Aukilo (iOS e Android);
  • le Edge Functions Supabase distribuite nel progetto ufficiale.

3. Fuori ambito

I seguenti elementi non sono coperti e non sono idonei alla divulgazione responsabile:

  • attacchi di tipo denial of service (DOS / DDoS);
  • phishing e ingegneria sociale contro team o utenti;
  • scraping massivo o tentativi di aggirare le quote;
  • vulnerabilità già note o in corso di correzione;
  • servizi di terzi (Vercel, Supabase, Firebase, Google) — da segnalare direttamente al fornitore;
  • indirizzi email obsoleti o domini parcheggiati.

4. Il nostro impegno

Se rispetti le regole di questa politica:

  • non intraprenderemo azioni legali contro di te;
  • collaboreremo con te per confermare e correggere la vulnerabilità;
  • ti accrediteremo pubblicamente (con il tuo consenso) una volta deployato il fix;
  • pubblicheremo un post-mortem anonimo quando pertinente.

Aukilo non gestisce (ancora) un programma bug bounty retribuito. Il riconoscimento è simbolico.

5. Regole da rispettare

Per beneficiare del nostro impegno, per favore:

  • non accedere né modificare dati utente senza il loro consenso;
  • non degradare il servizio né interromperne il funzionamento;
  • non divulgare pubblicamente la vulnerabilità prima che la correggiamo;
  • non sfruttare la vulnerabilità oltre la prova di concetto minima.

6. Dati utenti

Aukilo tratta dati personali ai sensi del GDPR e della nostra privacy policy. Se una vulnerabilità espone dati personali, applicheremo gli obblighi di notifica previsti dalla normativa (CNIL, utenti interessati).

7. Contatto

Per ogni domanda su questa politica: security@aukilo.com.

Chiave PGP disponibile su richiesta per segnalazioni sensibili.