Responsible Disclosure — esperienza con aziende italiane

Ho trovato una vulnerabilità XSS stored su un sito di e-commerce italiano. Ho inviato una email al loro indirizzo info@ descrivendo il problema con PoC. Risposta dopo 3 settimane: un grazie generico. La vulnerabilità è ancora lì 2 mesi dopo. Come gestite voi la responsible disclosure? C'è un modo migliore per contattare le aziende italiane senza un security team dedicato?