Segnalazione di vulnerabilità

Affronta potenziali vulnerabilità in qualsiasi aspetto dei nostri servizi cloud

Amazon Web Services prende molto sul serio la sicurezza e indaga su tutte le vulnerabilità segnalate. Questa pagina descrive le nostre procedure in caso di potenziali vulnerabilità in qualsiasi aspetto dei nostri servizi cloud.

Segnalazione di vulnerabilità sospette

  • Amazon.com (vendita al dettaglio): se hai problemi di sicurezza con Amazon.com (vendita al dettaglio), Seller Central, Amazon Payments o altri problemi correlati, ad esempio ordini sospetti, addebiti non validi sulla carta di credito, e-mail sospette o segnalazioni di vulnerabilità, visita la nostra pagina web Security for Retail.
  • Amazon Web Services (AWS): se desideri segnalare una vulnerabilità o un potenziale problema di sicurezza relativo ai servizi AWS Cloud, invia un'e-mail ad aws-security@amazon.com. Se desideri proteggere la tua casella di posta elettronica, puoi utilizzare la nostra chiave PGP.

Se pensi che le risorse AWS (ad esempio un'istanza EC2 o un bucket S3) vengano utilizzate per attività sospette, puoi segnalarlo al team AWS che si occupa degli usi illeciti.

Per consentirci di rispondere in modo più efficace alla tua segnalazione, ti preghiamo di fornire qualsiasi materiale di supporto (codice proof of concept, output dello strumento, ecc.) che possa essere utile per aiutarci a comprendere la natura e la gravità della vulnerabilità.

Le informazioni condivise con AWS durante questo processo vengono ritenute riservate da AWS. Non saranno perciò condivise con terze parti senza il tuo consenso.

AWS esaminerà la segnalazione inviata e le assegnerà un numero di monitoraggio. Ti risponderemo quindi per confermarne la ricezione e delineare le fasi successive del processo.

Valutazione da parte di AWS

Una volta inviata la segnalazione, AWS esaminerà la vulnerabilità segnalata. Se dovessero essere necessarie ulteriori informazioni per analizzare o riprodurre il problema, AWS lavorerà con te per ottenerle. Una volta completata l'indagine iniziale, riceverai i risultati insieme a un piano per la risoluzione del problema e la divulgazione al pubblico.

Alcuni aspetti da notare sul processo di valutazione di AWS:

  • Prodotti di terze parti: molti fornitori offrono prodotti all'interno di AWS Cloud. Se la vulnerabilità interessa un prodotto di terze parti, AWS invierà una notifica all'autore del software interessato. AWS proseguirà nell'indagine coordinandosi sia con te sia con la terza parte coinvolta. La tua identità non sarà divulgata alla terza parte senza il tuo consenso.
  • Conferma di non vulnerabilità: qualora il problema non potesse essere convalidato o non venisse riscontrato un difetto in un prodotto AWS, ciò ti verrà comunicato.
  • Classificazione delle vulnerabilità: AWS utilizza la versione 2.0 del sistema di valutazione delle vulnerabilità (CVSS, Common Vulnerability Scoring System) per valutare le potenziali vulnerabilità. Il punteggio risultante ci consente di quantificare la gravità del problema e di dare priorità alla nostra risposta. Per ulteriori informazioni su CVSS, consulta l'annuncio CVSS-SIG.

AWS si impegna a rispondere il più velocemente possibile e a informarti sull'avanzamento dell'indagine e/o della mitigazione del problema di sicurezza segnalato. Riceverai una risposta non automatica entro 24 ore dal contatto iniziale, che confermerà la ricezione della vulnerabilità segnalata. Riceverai aggiornamenti sull'avanzamento dell'indagine almeno ogni cinque giorni lavorativi.

Divulgazione al pubblico

Quando applicabile, AWS coordinerà con l'autore della segnalazione la divulgazione al pubblico di una vulnerabilità accertata. Quando possibile, preferiremmo che le nostre rispettive comunicazioni al pubblico fossero pubblicate contemporaneamente.

Per mantenere protetti i suoi clienti, AWS richiede di non pubblicare o condividere pubblicamente informazioni relative a una potenziale vulnerabilità finché tale problema non sarà stato esaminato, testato e risolto e i clienti non saranno stati informati, se necessario. Inoltre, chiediamo rispettosamente di non pubblicare o condividere dati appartenenti ai nostri clienti. Risolvere una vulnerabilità comprovata potrà richiedere tempo. Il tempo richiesto dipenderà dalla gravità del problema e dai sistemi interessati.

Le notifiche pubbliche di AWS sono sotto forma di Bollettini sulla sicurezza, che sono pubblicati nel Centro di sicurezza AWS. Singoli individui, aziende e team di sicurezza in genere pubblicano i propri avvisi sui propri siti Web e in altri forum e, se pertinente, includeremo collegamenti a tali risorse di terze parti nei bollettini sulla sicurezza di AWS.

Contatta un rappresentante aziendale di AWS
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della sicurezza?
Invia subito la tua domanda »
Desideri aggiornamenti sulla sicurezza in AWS?
Seguici su Twitter »