La sicurezza è molto importante per AWS, che approfondisce tutte le vulnerabilità riportate dai clienti. Questa pagina descrive le nostre procedure in caso di potenziali vulnerabilità in qualsiasi aspetto dei nostri servizi cloud.

  • Amazon.com – vendita al dettaglio: in caso di dubbi sulla sicurezza del sito di vendita al dettaglio Amazon.com, Seller Central, Amazon Payments o di problemi correlati, ad esempio ordini sospetti, addebiti non corretti su carte di credito, e-mail potenzialmente pericolose o reporting di vulnerabilità, consulta la pagina https://amazon.com/security.
  • Amazon Web Services (AWS): se desideri segnalare una vulnerabilità o un potenziale problema di sicurezza in relazione ai servizi cloud AWS, ad esempio EC2, S3, CloudFront e RDS, scrivi all'indirizzo aws-security@amazon.com. Se desideri proteggere la tua casella di posta, puoi usare PGP; troverai la chiave in questa pagina.

Se hai ragione di credere che una risorsa di AWS (ad esempio un'istanza EC2 o un bucket S3) sia utilizzata per attività sospette, puoi scrivere al team che si occupa degli usi illeciti in questa pagina.

Per consentirci di rispondere in modo efficace al tuo report, non dimenticare di fornire ulteriore materiale a supporto, ad esempio codice proof of concept o risultati di strumenti di diagnostica, che possono semplificare la nostra indagine sulla natura e la gravità della vulnerabilità.

Le informazioni condivise con AWS durante questo processo vengono ritenute riservate da AWS. Non saranno perciò condivise con terze parti senza il tuo consenso.

AWS esaminerà il report inoltrato e vi assegnerà un numero di monitoraggio. Ti risponderemo quindi per accusarne la ricezione e delineare le fasi successive della procedura.

Una volta inviato il report, AWS esaminerà la vulnerabilità riportata. Se dovessero risultare necessarie ulteriori informazioni per analizzare o riprodurre il problema, AWS si metterà nuovamente in contatto con te. Una volta completata l'indagine iniziale, riceverai i risultati insieme a una pianificazione che tratterà la risoluzione del problema e la sua divulgazione al pubblico.

Di seguito sono elencati alcuni importanti dettagli relativi alla procedura di valutazione di AWS:

  • Prodotti di terze parti : molti fornitori offrono i loro prodotti all'interno del cloud AWS. Se la vulnerabilità interessa un software di terze parti, AWS invierà una notifica al produttore di tale software. AWS proseguirà nell'indagine coordinandosi sia con te sia con la terza parte coinvolta. La tua identità non sarà divulgata alla terza parte senza il tuo consenso.
  • Vulnerabilità non confermate : se il problema non può essere esaminato, oppure se non risulta essere un errore interno a un prodotto AWS, ti verrà comunicato.
  • Classificazione delle vulnerabilità : AWS usa la versione 2.0 del sistema di valutazione delle vulnerabilità CVSS (Common Vulnerability Scoring System) per indicare la gravità di un potenziale problema. Il punteggio risultante consente di identificare la pericolosità di una vulnerabilità in modo da dare la giusta priorità alla risposta. Per ulteriori informazioni sul sistema CVSS, consulta questa pagina.

AWS si impegna a rispondere il più velocemente possibile e a informarti sull'avanzamento dell'indagine e/o della mitigazione del problema di sicurezza riportato. Riceverai una risposta non automatica entro 24 ore dal contatto iniziale, che confermerà la ricezione del report. Quindi riceverai aggiornamenti sull'avanzamento dell'indagine ogni cinque giorni lavorativi.

Quando applicabile, AWS coordinerà con l'autore del report la divulgazione al pubblico di una vulnerabilità accertata. Se possibile, AWS prevede di rendere noto il problema simultaneamente all'autore del report.

Per mantenere protetti i suoi clienti, AWS richiederà di non pubblicare o condividere pubblicamente informazioni relative a una potenziale vulnerabilità finché tale problema non sarà stato esaminato, testato e risolto e i clienti non saranno stati informati, se necessario. AWS chiede inoltre di non pubblicare o condividere alcun dato di proprietà di altri clienti. Risolvere una vulnerabilità comprovata potrà richiedere tempo. Il tempo richiesto dipenderà dalla gravità del problema e dai sistemi interessati.

Le notifiche pubbliche di AWS vengono postate all'interno di bollettini sulla sicurezza nel Centro di Sicurezza AWS. Singoli individui, aziende e team di sicurezza in genere pubblicano i loro avvisi sui rispettivi siti Web o in altri forum; al momento opportuno includeremo collegamenti a tali risorse di terze parti nei nostri bollettini sulla sicurezza.

 

Contattaci