Security

Vulnerability Disclosure Policy (VDP)

Version 1.0 — Effective April 2026

English

Introduction

SashaTech S.r.l.s. takes the security of its products and services very seriously. We believe that working with the security research community improves our ability to protect our users. This Vulnerability Disclosure Policy describes how security researchers can report vulnerabilities to us and what to expect in return.

Scope

This policy applies to:

SashaPlatform backend (APIs, orchestrator, cloud services)
SashaGlasses firmware and companion app
SashaDrone firmware (B1, B2, M2) and control tools
SashaStudio developer platform (SDKs, CLI, IDE extension)
The sashatechnology.com domain and public-facing subdomains

Out of scope: third-party services, social engineering, physical attacks, DoS attacks, software we do not own.

Safe Harbor

SashaTech will not pursue legal action against researchers who act in good faith, do not access or modify data beyond what is necessary, respect user privacy, do not publicly disclose before we have had reasonable time to remediate, and report to security@sashatechnology.com.

Reporting

Send vulnerability reports to security@sashatechnology.com.

Please include:

A clear description of the vulnerability
Step-by-step instructions to reproduce the issue
Affected product, version, and URL/endpoint
Potential impact
Any proof-of-concept code or screenshots

What to Expect

Acknowledgment within 5 business days
Status updates every 14 days until resolution
Credit in our security advisory (with your permission)
No legal action against good-faith researchers

Disclosure Timeline

Day 0Report receivedDay 5Acknowledgment sentDay 14Initial assessment sharedDay 90Target remediation (high/critical)Day 180Target public disclosure

Bug Bounty

As of April 2026, SashaTech does not operate a paid bug bounty program. We will publicly acknowledge researchers in our advisories and Hall of Fame. A formal paid bug bounty program is planned for 2027 Q3.

Italiano

Introduzione

SashaTech S.r.l.s. prende molto sul serio la sicurezza dei propri prodotti e servizi. Crediamo che lavorare con la community di ricerca sulla sicurezza migliori la nostra capacità di proteggere i nostri utenti. Questa Vulnerability Disclosure Policy descrive come i ricercatori di sicurezza possono segnalarci vulnerabilità e cosa aspettarsi.

Ambito

Questa policy si applica a:

Backend SashaPlatform (API, orchestrator, servizi cloud)
Firmware SashaGlasses e app companion
Firmware SashaDrone (B1, B2, M2) e strumenti di controllo
Piattaforma developer SashaStudio (SDK, CLI, estensione IDE)
Dominio sashatechnology.com e sottodomini pubblici

Fuori ambito: servizi di terze parti, social engineering, attacchi fisici, DoS, software non di nostra proprietà.

Safe Harbor

SashaTech non intraprenderà azioni legali contro ricercatori che agiscono in buona fede, non accedono o modificano dati oltre il necessario, rispettano la privacy degli utenti, e segnalano a security@sashatechnology.com.

Segnalazione

Invia i report di vulnerabilità a security@sashatechnology.com.

Cosa aspettarsi

Conferma entro 5 giorni lavorativi
Aggiornamenti ogni 14 giorni fino alla risoluzione
Credit nei nostri advisory (con il tuo permesso)
Nessuna azione legale contro ricercatori in buona fede

Timeline

Giorno 0Report ricevutoGiorno 5Conferma inviataGiorno 14Valutazione inizialeGiorno 90Target remediationGiorno 180Disclosure pubblica

Bug Bounty

Ad aprile 2026, SashaTech non ha un programma di bug bounty pagato. Riconosceremo pubblicamente i ricercatori nei nostri advisory e nella Hall of Fame. Un programma formale pagato è pianificato per Q3 2027.

Last updated: 10 April 2026 — Next review: 10 July 2026

Contact: security@sashatechnology.com