MedTransfer gestisce dati sanitari per conto di strutture sanitarie private. La sicurezza non è un modulo, è una condizione di esistenza. Questa pagina descrive come segnalare una vulnerabilità, la nostra politica di risposta e il perimetro autorizzato per i test.
Root-cause analysis entro 48h lavorative dal triage.
Notifica al cliente coinvolto quando l'impatto tocca una struttura cliente, nei termini del DPA Art. 28 e in coerenza con gli obblighi GDPR Artt. 33-34 (breach notification 72h al Titolare).
Post-mortem anonimizzato pubblicato sullo status page entro 7 giorni dall'incident, nei casi di impatto diffuso.
Safe Harbor
Se segnali in buona fede una vulnerabilità rispettando questa politica (niente data exfiltration oltre il minimo necessario a dimostrare il problema, nessuna alterazione di dati, nessun impatto su altri utenti, nessun social engineering verso il nostro team), non procederemo contro di te né civilmente né penalmente e non chiederemo la rimozione di comunicazioni pubbliche dopo la coordinated disclosure.
Perimetro autorizzato
In perimetro:
medtransfer.it e sottodomini
App mobile pubblica (quando rilasciata sugli store)
API REST pubblica /api/public/*
Fuori perimetro:
Sistemi di clienti (cliniche, pazienti) ospitati da terzi
Dati reali di pazienti — se li ottieni come side-effect, cancella e segnala senza leggerli
Provider di infrastruttura (Supabase, Google Cloud, Vercel, Stripe, Twilio, Meta)