Introduktion

Hos Sonova er vi forpligtet til at sikre sikkerheden og robustheden af vores produkter og relaterede tjenester. Vi forstår, at sårbarheder kan opstå på trods af vores indsats. Alle opfordres til at rapportere mistænkte sårbarheder eller sikkerhedsproblemer relateret til vores produkter eller deres underliggende software eller infrastruktur. Dette inkluderer sikkerhedsforskere, kunder og slutbrugere, CERTs (Computer Emergency Response Teams), branchegrupper, partnere og alle andre interessenter.

Før du indsender en rapport, skal du læse denne politik grundigt igennem og sikre dig, at dine handlinger er i overensstemmelse med dens retningslinjer.

Rapportering af en sårbarhed

Vi beder venligst enhver, der mener at have opdaget en potentiel sikkerhedsbrist i vores produkter eller relaterede tjenester, om at rapportere det til os hurtigst muligt via vores kundeserviceorganisation.

Når du indsender en rapport, skal du følge disse retningslinjer:

  • Giv detaljerede oplysninger om den potentielle sårbarhed, herunder en klar beskrivelse og trin til at reproducere fundet. Du kan finde en skabelon til at rapportere dit fund i bilaget.
  • Undgå handlinger, der kan skade fortroligheden, integriteten, tilgængeligheden eller sikkerheden af vores produkter og tjenester eller data. Undlad venligst at forårsage materiel skade, ændre data, misbruge privilegieudvidelse eller downloade mere data, end hvad der er nødvendigt for at demonstrere sårbarheden.
  • Oprethold fortroligheden af dine fund, indtil vi har afsluttet vores undersøgelse og implementeret de nødvendige foranstaltninger. Dette hjælper med at beskytte vores brugere og sikrer en ansvarlig håndtering af sikkerhedsproblemer.
  • Informér os venligst på forhånd om din intention om at offentliggøre sårbarheden.
  • Angiv venligst dine kontaktoplysninger, såsom en e-mailadresse eller et telefonnummer, så vi kan følge op med dig for yderligere undersøgelse.

Vores forpligtelse

Når Sonova modtager en rapport om en sikkerhedsrisiko, forpligter virksomheden sig til følgende:

  • Vi bekræfter modtagelsen af din rapport og bekræfter, at din indsendelse er modtaget og behandles.
  • Vores dedikerede sikkerhedsteam vil foretage en grundig undersøgelse af den rapporterede sårbarhed. Vi kan kontakte dig for yderligere information eller afklaring for at sikre en omfattende forståelse af sårbarheden.
  • Vi prioriterer løsningen af rapporterede sårbarheder baseret på deres alvorlighed og kompleksitet. Vores team er forpligtet til at træffe de nødvendige foranstaltninger for at håndtere og mindske risici hurtigt og effektivt.
  • Vi vil opretholde en åben og gennemsigtig kommunikation med dig gennem hele processen. Du vil blive holdt informeret om vores fremskridt i undersøgelsen og løsningen af problemet, med regelmæssige opdateringer på vigtige stadier.

Undtagelser

Mens vi opfordrer til rapportering af eventuelle fundne sikkerhedsbrister, bedes du bemærke, at følgende handlinger er strengt forbudt:

  • Brug af invasive eller forstyrrende automatiserede scanninger mod vores infrastruktur.
  • Adgang til, download, ændring eller anden form for indblanding i data i konti eller systemer, som du ikke ejer eller har udtrykkelig tilladelse til at interagere med.
  • Udførelse af aktiviteter, der bevidst forstyrrer, forringer eller truer den operationelle integritet af vores produkter og relaterede tjenester eller systemer.
  • Offentliggørelse af identificeret sårbarhed før vores løsning.
  • Inddragelse i enhver form for social engineering, phishing-angreb eller vildledende praksis mod vores medarbejdere, brugere eller infrastruktur.
  • Udførelse af fysiske sikkerhedsangreb på Sonovas aktiver.

Sårbarheder uden for programmets omfang

Dette program for offentliggørelse af sårbarheder fokuserer på sårbarheder relateret til Sonova-produkter, deres underliggende infrastruktur og relaterede tjenester. Som sådan er sårbarheder på vores hjemmeside eller offentligt tilgængelig infrastruktur i øjeblikket ikke omfattet af dette program.

For at muliggøre en effektiv ressourceallokering og fokusere på at mindske sårbarheder med betydelig indvirkning definerer vi følgende kategorier som uden for omfanget af dette program for offentliggørelse af sårbarheder. Rapportering af disse fører muligvis ikke til anerkendelse eller afhjælpende foranstaltninger:

  • Indsendelser, der stammer fra automatiske scanningsværktøjer eller automatiske analyser.
  • Observationer vedrørende svage SSL/TLS-kryptografiske algoritmer og sårbarheder i TLS-opsætninger, medmindre en faktisk, udnyttelig risiko specifik for vores miljø kan demonstreres.
  • Fravær af anbefalede sikkerhedsforanstaltninger, implementering af biblioteker kendt for sårbarheder eller detaljerede fejlmeddelelser, medmindre disse inkluderer klare, påviselige veje til udnyttelse.

Juridisk erklæring / Safe Harbour

Hos Sonova værdsætter vi sikkerhedsforskeres bidrag og anerkender vigtigheden af deres indsats for at forbedre sikkerheden af vores produkter.

Hvis du overholder retningslinjerne i vores politik for offentliggørelse af sårbarheder, vil dine handlinger blive betragtet som autoriserede, og vi vil ikke indlede retssager mod dig. Selvom vi støtter ansvarlig sikkerhedsforskning, skal du bemærke, at din overholdelse af denne politik ikke fritager dig fra at overholde gældende lokale love. Hvis en tredjepart indleder retssager i forbindelse med dine aktiviteter under denne politik, skal du være opmærksom på, at selvom vi sigter mod at afklare karakteren af din overholdelse af vores politik, kan vi ikke yde juridisk repræsentation eller direkte intervention på dine vegne.

Kontakt os

For spørgsmål eller indsendelser vedrørende sikkerhedsbrister, bedes du kontakte vores kundeservice https://eu.sennheiser-hearing.com/pages/contact/.