✦ Sofia AI

Vulnerability Disclosure Policy

Ultimo aggiornamento: 3 giugno 2026

1. Introduzione

Salesmart Srl ("noi") è impegnata a proteggere la sicurezza e la privacy degli utenti di Sofia AI. Accogliamo positivamente le segnalazioni responsabili di vulnerabilità da ricercatori di sicurezza e dalla community. Questa policy descrive quali sistemi sono in scope, come inviare le segnalazioni e cosa aspettarti dalla nostra risposta.

2. Linee guida per chi segnala

Ti chiediamo di:

  • Comunicarci appena possibile vulnerabilità reali o sospette.
  • Concederci un tempo ragionevole per risolvere prima di rendere pubblica la vulnerabilità.
  • Evitare violazioni della privacy, disservizi o danneggiamento/modifica dei dati degli utenti.
  • Usare il minimo proof-of-concept necessario per confermare la vulnerabilità. Non estrarre dati utente, non creare persistenza, non muoversi lateralmente su altri sistemi.
  • Se incontri accidentalmente dati sensibili (contenuti email, OAuth token, PII), interrompi i test, segnalacelo subito e tratta i dati come riservati.
  • Evitare segnalazioni automatiche di bassa qualità o in volume.

3. Safe harbor

La ricerca svolta in buona fede secondo questa policy è autorizzata. Non intraprenderemo azioni legali — anche per uso improprio, contratto o copyright — contro chi rispetta questa policy. Se una terza parte avvia un'azione legale per attività conforme a questa policy, lo renderemo noto.

4. Scope

Sono in scope i seguenti sistemi e componenti:

  • Sofia AI per Android — package com.sofiaai.sofia_ai, distribuita tramite Google Play Store.
  • Sofia AI per iOS — bundle com.sofiaai.sofia_ai, distribuita tramite Apple App Store.
  • Backend Firebase Cloud Functions di Sofia AI (region europe-west1): exchangeAuthCode, refreshAccessToken, consumeCredits, joinWaitlist.
  • Firestore Security Rules di produzione.
  • Landing page e pagine policy ospitate (questo dominio).

Sono fuori scope e vanno segnalati al rispettivo vendor:

  • Google Workspace / Gmail API / Google Calendar API → Google Vulnerability Reward Program.
  • Piattaforma Firebase stessa → Google.
  • RevenueCat (billing) → RevenueCat.
  • Sito corporate Salesmart e prodotti Salesmart non correlati a Sofia AI.
  • Librerie di terze parti — segnala upstream; tracciamo le CVE nel nostro SBOM.

In caso di dubbio sul perimetro, scrivici prima di iniziare i test.

5. Test non consentiti

I seguenti tipi di test non sono autorizzati, nemmeno su target in scope:

  • Denial-of-service o stress test (rete, applicativo, contatori di billing).
  • Intrusione fisica, social engineering, phishing verso staff o utenti.
  • Test contro account che non sono i tuoi o per i quali non hai esplicita autorizzazione.
  • Scanner automatici che generino volumi di traffico significativi sul backend di produzione.

6. Come segnalare

Invia la segnalazione a lorenzo.demartinis@salesmart.it con oggetto prefissato [SECURITY]. Sono accettate segnalazioni anonime; se fornisci un contatto ti aggiorneremo sui progressi.

Cosa includere:

  • Descrizione della vulnerabilità e componente impattato.
  • Step di riproduzione, idealmente con proof-of-concept minimale (script, screenshot, HAR).
  • Valutazione di impatto: cosa potrebbe fare un attaccante.
  • Eventuale suggerimento di fix o mitigation.

Segnalazioni in italiano o inglese sono entrambe benvenute.

7. Il nostro impegno

Se ci fornisci un contatto:

  • Confermiamo ricezione entro 3 giorni lavorativi.
  • Ti teniamo aggiornato su validazione e remediation.
  • Per segnalazioni valide, concordiamo una timeline di disclosure che ci dia il tempo di rilasciare un fix prima della discussione pubblica.
  • Possiamo citarti pubblicamente in una pagina di acknowledgments se lo desideri (a fronte di una segnalazione che lo giustifichi).

8. Aggiornamenti a questa policy

Questa policy può essere aggiornata per riflettere cambi nel prodotto o nei processi. Le modifiche sostanziali saranno comunicate aggiornando la data di "Ultimo aggiornamento" in testa al documento.

1. Introduction

Salesmart Srl ("we") is committed to protecting the security and privacy of Sofia AI users. We welcome responsible vulnerability disclosure from security researchers and the broader community. This policy describes which systems are in scope, how to submit reports, and what to expect from us in response.

2. Guidelines for researchers

We ask that you:

  • Notify us as soon as possible after discovering a real or suspected vulnerability.
  • Provide reasonable time for the issue to be resolved before public disclosure.
  • Make every effort to avoid privacy violations, service disruption, and destruction or modification of user data.
  • Use the minimum proof-of-concept necessary to confirm the vulnerability. Do not exfiltrate user data, establish persistence, or pivot to other systems.
  • If you incidentally encounter sensitive data (email content, OAuth tokens, PII), stop testing, notify us, and treat the data as confidential.
  • Avoid submitting low-quality, automated, or volume-based reports.

3. Safe harbor

Research carried out in good faith compliance with this policy is authorized. We will not pursue legal action — including under computer-misuse, contract, or copyright law — against researchers who follow this policy. If a third party initiates legal action against you for activity that complied with this policy, we will make this position known.

4. Scope

The following systems and components are in scope:

  • Sofia AI Android application — package com.sofiaai.sofia_ai, distributed via Google Play Store.
  • Sofia AI iOS application — bundle com.sofiaai.sofia_ai, distributed via the Apple App Store.
  • Sofia AI Firebase Cloud Functions backend (region europe-west1): exchangeAuthCode, refreshAccessToken, consumeCredits, joinWaitlist.
  • Production Firestore Security Rules.
  • Sofia AI hosted landing page and policy pages (this domain).

The following are out of scope and should be reported to the respective vendor:

  • Google Workspace / Gmail API / Google Calendar API → Google Vulnerability Reward Program.
  • The Firebase platform itself → Google.
  • RevenueCat (billing) → RevenueCat.
  • Salesmart Srl's corporate website and any unrelated Salesmart products.
  • Third-party libraries — report upstream; we track CVEs in our SBOM.

If you are unsure whether a target is in scope, contact us before testing.

5. Disallowed testing methods

The following are not authorized, even on in-scope targets:

  • Denial-of-service or resource-exhaustion testing (network, application, or billing-counter level).
  • Physical intrusion, social engineering, phishing of staff or users.
  • Testing against accounts other than those you own or have explicit permission to test.
  • Automated scanning that generates significant volumes of traffic against the production backend.

6. How to report

Send your report to lorenzo.demartinis@salesmart.it with the subject line prefixed [SECURITY]. Anonymous reports are accepted; if you provide contact details we will keep you informed of progress.

What to include:

  • Description of the vulnerability and the impacted component.
  • Reproduction steps, ideally with a minimal proof-of-concept (script, screenshot, HAR file).
  • Impact assessment (what an attacker could achieve).
  • Suggested fix or mitigation, if any.

Reports in English or Italian are equally welcome.

7. Our commitment

If you provide contact details:

  • We will acknowledge receipt within 3 business days.
  • We will keep you informed on validation and remediation.
  • For valid reports, we will coordinate a disclosure timeline that gives us a reasonable window to deploy a fix before public discussion.
  • We will publicly credit you in our acknowledgments page if you wish (and the finding warrants it).

8. Updates to this policy

This policy may be updated to reflect changes in our product scope or processes. Material changes will be communicated by updating the "Last updated" date at the top of this document.