Legali · Sicurezza & disclosure
VEYLON

Security Policy

> Veylon è un prodotto di certificazione legale. La sicurezza non è una feature: è il prodotto. > Questa policy descrive come segnalare vulnerabilità, cosa rientra nello scope, le issue già note in fix e l'architettura di sicurezza della piattaforma.


Vulnerability Disclosure Policy

Veylon S.r.l. (in costituzione) accoglie e incoraggia la segnalazione responsabile di vulnerabilità di sicurezza.

Come segnalare

- Contact: mailto:[email protected] - Expires: 2027-06-10T00:00:00.000Z - Encryption: https://veylon.app/.well-known/security.pgp - Preferred-Languages: it, en - Policy: https://veylon.app/security - Hiring: https://veylon.app/careers

Cosa includere

Cosa NON fare

Tempo di risposta

AzioneTempo massimo
Acknowledge ricezione48 ore lavorative
Triage iniziale + CVSS7 giorni
Comunicazione decisione (in fix / out of scope / duplicato)14 giorni
Disclosure coordinata90 giorni dalla ricezione (estendibili di accordo col reporter)

Responsible Disclosure Timeline

Standard a 90 giorni in linea con Google Project Zero e ISO/IEC 29147.

GiornoEvento
0Ricezione + conferma entro 48 ore lavorative
0-7Triage interno, classificazione CVSS
7-30Sviluppo patch, comunicazione settimanale al reporter
30-60Rollout staged in produzione, test regressione
60-90Hardening, validazione esterna se opportuno
90Disclosure pubblica coordinata + credit

Per vulnerabilità sfruttate attivamente o di rischio sistemico, timeline accelerata d'accordo col reporter.


Scope

In scope

Out of scope


Known Issues (pre-MVP — trasparenza totale)

Quattro issue CRITICAL identificate dall'audit interno 2026-06-07. Tracciate, in fix prima del go-live commerciale.

IDSeveritàModuloDescrizioneStatus
VLN-001CRITICALOTP FirmaRate-limit OTP brute-force insufficiente in firma-applica: codice 6 cifre senza counter attemptsIn fix (Q3 2026)
VLN-002CRITICALCron pg_netService_role nei log pg_net del cron originale (20260607_veylon_cron.sql)Non applicabile: deploy attuale usa cron esterno (cron-job.org) con solo x-cron-secret, mai service_role
VLN-003CRITICALOTS parserParser custom _shared/ots.ts senza bounds check su input binario malformato → potenziale DoSFix applicato 2026-06-08
VLN-004CRITICALCron authCheck CRON_SECRET accettava stringa vuota se var non settataFix applicato 2026-06-08

Bug Bounty

Stato corrente: non attivo. Veylon è in fase di stabilizzazione MVP e preferiamo costruire una pipeline interna di triage prima di esporre un programma a reward monetario.

Roadmap del programma

FaseTargetModalità
Q1 2027Programma privato su invitoReward per CRITICAL/HIGH, scope ristretto, NDA
Q3-Q4 2027Programma pubblicoSu una delle piattaforme HackerOne / Intigriti / YesWeHack EU
2028Reward in stablecoin EUR (opzionale)Per bypass crittografici e bypass identità

Nel frattempo

Le segnalazioni valide ricevono:

Hall of Fame

> Placeholder corrente — la lista è vuota in attesa della prima segnalazione esterna.

ReporterDataIssue IDSeveritàDescrizione sintetica
_Il tuo nome qui_Sii il primo a contribuire

I 4 finding interni VLN-001..004 sono stati identificati dall'audit interno e non figurano in Hall of Fame esterna.


Security Architecture

1. Chiavi private mai sui server

Modulo Send: cifratura E2E in browser via Web Crypto API (AES-GCM-256 + X25519). Veylon vede solo ciphertext.

2. Row Level Security ovunque

Tutte le 15 tabelle Postgres hanno policy RLS attive con pattern (SELECT auth.uid()) = ... per performance. Testate in audit DB.

3. HMAC su tutti i webhook

Webhook Mailgun + Twilio verificati HMAC-SHA256 prima di mutare lo stato. Tampering loggato e rifiutato.

4. OTP rate-limit multilivello

5. Bitcoin anchoring come timeline pubblica

Notarizzazioni Sigillo ancorate su Bitcoin mainnet via OpenTimestamps. Verifica indipendente da chiunque, anche se Veylon scompare.

6. Segregazione key material

7. Audit trail immutabile

Ogni evento materiale (notarizzazione, invio email, OTP validato, file trasferito) scritto in tabelle append-only (email_eventi, firma_eventi, garanzia_eventi, auth_otp).

8. Sovranità europea del dato


Compliance

GDPR (Reg. UE 2016/679)

eIDAS (Reg. UE 910/2014)

Standard tecnici


Storia delle modifiche

DataVersioneModifica
2026-06-071.0Prima versione pubblica della security policy (pre-MVP)
2026-06-081.1Aggiunti dettagli sui 4 known issues, marcati VLN-003 e VLN-004 come "fix applicato"
2026-06-101.2Aggiunti dettagli su vulnerability disclosure process, PGP key placeholder, security.txt RFC 9116, bug bounty roadmap, Hall of Fame placeholder

Per dubbi interpretativi: [email protected]. Grazie per contribuire a rendere Veylon più sicura.