Ultimo aggiornamento: 12/11/2025
Titolare del sito: Tesax S.a.s. di Quaranta Giuseppe – Vico Vitti 10, 70013 Castellana Grotte (BA), Italia – [email protected]
Il nostro impegno
La sicurezza delle informazioni dei nostri utenti è una priorità. Adottiamo misure tecniche e organizzative per proteggere dati, infrastrutture e continuità del servizio, in linea con il GDPR e le buone pratiche del settore.
Protezione dei dati e privacy
Minimizzazione & cifratura dati: raccogliamo solo i dati necessari; dati in transito protetti con TLS 1.2+ (HSTS attivo), dati a riposo cifrati su storage gestiti.
Segregazione ambienti: separazione tra sviluppo, test e produzione, con accessi “least privilege”.
Backup & continuità: backup cifrati e test periodici di ripristino; procedure di business continuity e disaster recovery.
Registro accessi: logging sicurezza (accessi, azioni amministrative, errori) con retention limitata e controllata.
Sicurezza applicativa
Ciclo di sviluppo sicuro (SDL): code review, dipendenze verificate, test automatici e scansioni SAST/DAST.
Header e configurazione: Content Security Policy, X-Content-Type-Options, X-Frame-Options/Frame-Options, Referrer-Policy, Permissions-Policy; cookie
HttpOnly,Secure,SameSite.Protezione account: hashing password con algoritmo robusto (es. Argon2/bcrypt), protezione brute-force e rate limiting; opzione MFA (se prevista).
Gestione segreti: credenziali e chiavi conservate in secret manager, mai nel codice.
Sicurezza dell’infrastruttura
Hardening & patching: aggiornamenti regolari di OS e middleware; porte e servizi esposti ridotti al minimo.
WAF & anti-DDoS: filtri applicativi e mitigazione traffico anomalo.
Monitoraggio 24/7: alerting su eventi critici e anomalie (SIEM/IDS, dove applicabile).
Gestione delle vulnerabilità
Scan periodici su codice e infrastruttura.
Classificazione CVSS e remediation in tempi proporzionati alla gravità:
Critica (CVSS ≥ 9.0): mitigazione immediata, fix preferibilmente entro 72 ore.
Alta (7.0–8.9): piano di correzione entro 7 giorni.
Media (4.0–6.9): entro 30 giorni.
Bassa (< 4.0): inserita nella normale pianificazione.
Gestione incidenti di sicurezza
Rilevazione e contenimento: attivazione playbook, isolamento componenti esposti, raccolta evidenze.
Notifica: in caso di data breach che presenti rischi per gli interessati, informiamo l’Autorità Garante e gli utenti senza ingiustificato ritardo secondo il GDPR.
Post-mortem: analisi delle cause radice e azioni preventive.
Responsible Disclosure (Divulgazione Responsabile)
Apprezziamo il contributo della comunità di sicurezza. Se individui una vulnerabilità, non sfruttarla e segnala subito seguendo le istruzioni.
Come segnalare
Email preferita: [email protected]
Oggetto:
[Tesax Security] Vulnerability ReportIncludi: descrizione tecnica, impatto, passi per riprodurre (PoC non distruttivo), eventuali log/screenshot, contatti per follow-up.
Opzionale: usa la nostra chiave PGP (se richiesta, te la inviamo).
Ambito (scope)
In scope: domini e sottodomini di tesax.it e le nostre API pubbliche/documentate.
Out of scope: social aziendali, servizi terzi non gestiti da Tesax, attacchi di DoS/DDoS, spam, social engineering verso il nostro staff o utenti, scanner aggressivi che impattino il servizio, fuga di credenziali reperite da data leak storici non legati a Tesax.
Regole di condotta
Non accedere, alterare o distruggere dati di terzi.
Non interrompere il servizio.
Smetti i test appena confermi l’esistenza del problema.
Rispetta la privacy e le leggi vigenti.
Safe Harbor
Se rispetti questa policy e agisci in buona fede per segnalare una vulnerabilità, non intraprenderemo azioni legali per le tue attività di ricerca limitate all’ambito e alle regole sopra indicate.
Tempistiche di risposta
Conferma ricezione: entro 3 giorni lavorativi.
Valutazione iniziale: entro 10 giorni lavorativi.
Aggiornamenti di stato: almeno ogni 30 giorni fino alla chiusura.
Riconoscimenti: a discrezione, possiamo ringraziare i ricercatori in una pagina “Hall of Fame” (se attivata). Nessuna ricompensa economica è garantita salvo programma specifico.
Contatti sicurezza
Security Team Tesax: [email protected]
Privacy/Data Protection: [email protected]
Indirizzo postale: Tesax S.a.s. di Quaranta Giuseppe – Vico Vitti 10, 70013 Castellana Grotte (BA), Italia