Politik for koordineret offentliggørelse af sårbarheder

Indledning

Hos Sonova lægger vi stor vægt på at sikre sikkerheden og robustheden af vores produkter og tilhørende tjenester. Vi er klar over, at der trods vores bestræbelser kan opstå sårbarheder. Alle opfordres til at indberette formodede sårbarheder eller sikkerhedsproblemer i forbindelse med vores produkter eller den underliggende software eller infrastruktur. Dette gælder sikkerhedsforskere, kunder og slutbrugere, CERT-teams (Computer Emergency Response Teams), brancheorganisationer, partnere og alle andre interessenter.

Inden du indsender en rapport, bedes du læse denne politik grundigt igennem og sikre dig, at dine handlinger er i overensstemmelse med retningslinjerne heri.

Indberetning af en sårbarhed

Vi beder alle, der mener at have opdaget en potentiel sikkerhedsrisiko i vores produkter eller tilknyttede tjenester, om at indberette dette til os hurtigst muligt via vores kundeservice.

Når du indsender en rapport, bedes du følge disse retningslinjer:

• Giv detaljerede oplysninger om den potentielle sårbarhed, herunder en klar beskrivelse og trin til at genskabe fejlen. I bilaget finder du en skabelon til indberetning af din fejl.
• Undgå enhver handling, der kan skade fortroligheden, integriteten, tilgængeligheden eller sikkerheden af vores produkter, tjenester eller data. Undlad venligst at forvolde væsentlig skade, ændre data, misbruge rettighedsudvidelse eller downloade flere data, end hvad der er nødvendigt for at påvise sårbarheden.
• Behold dine fund fortrolige, indtil vi har afsluttet vores undersøgelse og iværksat de nødvendige foranstaltninger. Dette bidrager til at beskytte vores brugere og sikrer en ansvarlig håndtering af sikkerhedsproblemer.
• Vi beder dig om at give os besked på forhånd, hvis du har til hensigt at offentliggøre sårbarheden.
• Angiv venligst dine kontaktoplysninger, f.eks. en e-mailadresse eller et telefonnummer, så vi kan kontakte dig med henblik på en nærmere undersøgelse.

Vores forpligtelse

Når Sonova modtager en rapport om en sikkerhedsrisiko, forpligter virksomheden sig til følgende:

• Vi bekræfter modtagelsen af din rapport og bekræfter dermed, at din indsendelse er modtaget og er under behandling.
• Vores dedikerede sikkerhedsteam vil foretage en grundig undersøgelse af den indberettede sårbarhed. Vi vil muligvis kontakte dig for at få yderligere oplysninger eller afklaring, så vi kan danne os et fuldt overblik over sårbarheden.
• Vi prioriterer håndteringen af indberettede sårbarheder ud fra deres alvorlighed og kompleksitet. Vores team er fast besluttet på at træffe de nødvendige foranstaltninger for hurtigt og effektivt at håndtere og mindske risiciene.
• Vi vil sikre en åben og gennemsigtig kommunikation med dig gennem hele forløbet. Du vil blive holdt orienteret om vores fremskridt i forbindelse med undersøgelsen og løsningen af problemet, og vi vil give dig regelmæssige opdateringer på de vigtigste stadier.

Undtagelser

Selvom vi opfordrer til, at eventuelle sikkerhedsproblemer indberettes, skal du være opmærksom på, at følgende handlinger er strengt forbudt:

• Brug af invasiv eller forstyrrende automatiseret scanning mod vores infrastruktur.
• At tilgå, downloade, ændre eller på anden måde gribe ind i data på konti eller i systemer, som du ikke ejer eller har udtrykkelig tilladelse til at benytte.
• At udføre handlinger, der bevidst forstyrrer, forringer eller truer den driftsmæssige integritet af vores produkter og tilknyttede tjenester eller systemer.
• Offentliggørelse af identificerede sårbarheder, før vi har løst dem.
• At udøve nogen form for social manipulation, phishing-angreb eller vildledende praksis over for vores medarbejdere, brugere eller infrastruktur.
• Gennemførelse af fysiske sikkerhedsangreb på Sonovas aktiver.

Sårbarheder, der ikke er omfattet af dette program

Dette program til indberetning af sårbarheder er rettet mod sårbarheder i forbindelse med Sonovas produkter, den underliggende infrastruktur og tilknyttede tjenester. Sårbarheder på vores hjemmeside eller i vores offentligt tilgængelige infrastruktur er derfor ikke omfattet af dette program.

For at sikre en effektiv ressourcefordeling og fokusere på at afhjælpe sårbarheder med betydelig indvirkning har vi fastlagt, at følgende kategorier ikke er omfattet af dette program for offentliggørelse af sårbarheder. Indberetning af disse vil muligvis ikke medføre en bekræftelse eller afhjælpende foranstaltninger:

• Indsendelser, der stammer fra automatiske scanningsværktøjer eller automatiserede analyser.
• Bemærkninger vedrørende svage SSL/TLS-krypteringsalgoritmer og sårbarheder i TLS-konfigurationer, medmindre der kan påvises en konkret, udnyttelig risiko, der er specifik for vores miljø.
• Manglende anvendelse af anbefalede sikkerhedsforanstaltninger, brug af biblioteker, der er kendt for at indeholde sårbarheder, eller detaljerede fejlmeddelelser, medmindre disse indeholder klare, påviselige veje til udnyttelse.

Juridisk erklæring / Safe Harbour

Hos Sonova værdsætter vi sikkerhedsforskernes bidrag og anerkender betydningen af deres indsats for at forbedre sikkerheden i vores produkter.

Hvis du overholder retningslinjerne i vores politik for rapportering af sårbarheder, vil dine handlinger blive betragtet som godkendte, og vi vil ikke indlede retslige skridt mod dig. Selvom vi støtter ansvarlig sikkerhedsforskning, skal du være opmærksom på, at din overholdelse af denne politik ikke fritager dig for at overholde gældende lokal lovgivning. Hvis en tredjepart indleder retslige skridt i forbindelse med dine aktiviteter i henhold til denne politik, skal du være opmærksom på, at selvom vi tilstræber at afklare karakteren af din overholdelse af vores politik, kan vi ikke påtage os at repræsentere dig juridisk eller gribe direkte ind på dine vegne.

Kontakt os

Hvis du har spørgsmål eller ønsker at indberette sikkerhedsproblemer, bedes du kontakte vores kundeservice på https://eu.sennheiser-hearing.com/pages/contact/.