Trovata una vulnerabilità? Ecco come dircelo.
In vigore dal 3 maggio 2026
FlowNote tratta la sicurezza con serietà. Se hai individuato una vulnerabilità nel nostro Servizio, ti chiediamo di seguire questa procedura prima di rendere pubblici i dettagli. In cambio ci impegniamo a risponderti in fretta, lavorare con te alla risoluzione e — se sei d'accordo — riconoscerti pubblicamente.
01. Premessa
Questa policy si rivolge a ricercatori indipendenti che, in buona fede, identifichino problemi di sicurezza nei nostri sistemi. L'obiettivo è duplice: proteggere gli utenti di FlowNote e dare a chi segnala un canale chiaro, sicuro e rispettoso.
02. Ambito
Sono compresi nell'ambito di questa policy:
- flownote.it — landing page e pagine pubbliche.
- *.flownote.it — applicazione autenticata e sottodomini operativi futuri.
- L'API REST esposta sotto /api/*.
03. Fuori ambito
Sono esclusidall'ambito di questa policy i sistemi che non controlliamo direttamente. Per vulnerabilità che riguardano questi fornitori, segnala direttamente a loro:
- Vercel (vercel.com) — hosting e funzioni serverless.
- Supabase (supabase.com) — database, autenticazione, storage.
- Stripe, Anthropic via Vercel AI Gateway, Deepgram, Resend, Fatture in Cloud — gli altri subprocessor elencati su /privacy.
Sono inoltre fuori ambito: campagne di social engineering verso staff o utenti, denial-of-service, spam, reportistica automatica generata da scanner senza analisi manuale, vulnerabilità in dipendenze già divulgate e in fase di patching.
04. Safe harbor
Se segnali una vulnerabilità rispettando questa policy, ci impegniamo a:
- Niente azione legalecontro di te per le attività di ricerca condotte in buona fede e nei limiti dell'ambito.
- Conferma di ricezione entro 72 ore dall'invio del report.
- Aggiornamenti regolaridurante l'analisi e la risoluzione, con tempi realistici comunicati appena disponibili.
- Disclosure pubblica coordinata: dopo la fix, o comunque entro 90 giorni dalla segnalazione, salvo accordo diverso con te.
05. Linee guida per ricercatori
- Non degradare il Servizio per altri utenti (no DoS, no test su larga scala senza preavviso).
- Non accedere a dati di altri utenti oltre il minimo necessario per dimostrare la vulnerabilità. Se vedi dati sensibili, fermati e segnala.
- Niente social engineering verso lo staff o gli utenti, niente test fisici sulle infrastrutture dei nostri fornitori.
- Mantieni riservata la vulnerabilità per almeno 90 giorni dalla segnalazione, salvo accordo diverso. Se troviamo una soluzione prima, ti diamo il via libera.
- Una sola vulnerabilità per report. Più report consecutivi su lo stesso bug rallentano il triage.
06. Come segnalare
Scrivi a security@flownote.it (preferito) — o, in alternativa, a m.passero.automation@gmail.com. Includi nel messaggio:
- Una descrizione sintetica del problema.
- I passi per riprodurlo, possibilmente con screenshot.
- L'impatto stimato (chi è coinvolto, cosa è esposto).
- Eventuale Proof-of-Concept minimale (URL, payload, snippet di codice).
- Come vuoi essere contattato per il follow-up.
PGP non richiesto. Se preferisci usarlo, scrivici prima e concorderemo lo scambio della chiave.
07. Riconoscimento
FlowNote è un MVP gestito da una persona sola. Non offriamo, per ora, un programma di bug bounty in denaro.
Quello che possiamo offrirti, con il tuo permesso, è un riconoscimento pubblico in una sezione “Hall of fame” che inaugureremo con il primo report ricevuto. Se vuoi restare anonimo, rispettiamo la scelta.