Politik for koordineret offentliggørelse af sårbarheder

Introduktion

Hos Sonova er vi forpligtet til at sikre sikkerheden og modstandsdygtigheden af vores produkter og relaterede tjenester. Vi er klar over, at der trods vores indsats kan opstå sårbarheder. Alle opfordres til at rapportere mistænkelige sårbarheder eller sikkerhedsproblemer i forbindelse med vores produkter eller den underliggende software eller infrastruktur. Dette omfatter sikkerhedsforskere, kunder og slutbrugere, CERT'er (Computer Emergency Response Teams), brancheorganisationer, partnere og alle andre interessenter.

Før du indsender en rapport, skal du læse denne politik grundigt igennem og sikre dig, at dine handlinger er i overensstemmelse med dens retningslinjer.

Rapportering af en sårbarhed

Vi beder alle, der mener at have opdaget en potentiel sikkerhedsrisiko i vores produkter eller relaterede tjenester, om at rapportere det til os så hurtigt som muligt via vores kundeservice.

Når du indsender en rapport, skal du følge disse retningslinjer:

• Giv detaljerede oplysninger om den potentielle sårbarhed, herunder en klar beskrivelse og trin til at gengive fundet. Du finder en skabelon til at rapportere dit fund i bilaget.
• Undgå handlinger, der kan skade fortroligheden, integriteten, tilgængeligheden eller sikkerheden af vores produkter, tjenester eller data. Undlad at forårsage materiel skade, ændre data, misbruge privilegieeskalering eller downloade flere data, end hvad der er nødvendigt for at påvise sårbarheden.
• Bevar fortroligheden af dine fund, indtil vi har afsluttet vores undersøgelse og implementeret de nødvendige foranstaltninger. Dette hjælper med at beskytte vores brugere og sikrer en ansvarlig håndtering af sikkerhedsproblemer.
• Informér os venligst på forhånd om din intention om at offentliggøre sårbarheden.
• Angiv venligst dine kontaktoplysninger, såsom e-mailadresse eller telefonnummer, så vi kan følge op med dig for yderligere undersøgelse.

Vores forpligtelse

Når Sonova modtager en rapport om en sikkerhedsrisiko, forpligter virksomheden sig til følgende:

• Vi bekræfter modtagelsen af din rapport og bekræfter, at din indsendelse er modtaget og behandles.
• Vores dedikerede sikkerhedsteam vil foretage en grundig undersøgelse af den rapporterede sårbarhed. Vi kan kontakte dig for yderligere oplysninger eller afklaring for at sikre en omfattende forståelse af sårbarheden.
• Vi prioriterer løsningen af rapporterede sårbarheder ud fra deres alvor og kompleksitet. Vores team er dedikeret til at tage de nødvendige skridt for at håndtere og mindske risici hurtigt og effektivt.
• Vi vil opretholde en åben og transparent kommunikation med dig gennem hele processen. Du vil blive holdt orienteret om vores fremskridt i undersøgelsen og løsningen af problemet, med regelmæssige opdateringer på vigtige stadier.

Undtagelser

Selvom vi opfordrer til, at alle fundne sikkerhedsproblemer rapporteres, skal du være opmærksom på, at følgende handlinger er strengt forbudt:

• Brug af invasiv eller forstyrrende automatiseret scanning mod vores infrastruktur.
• Adgang til, download, ændring eller anden form for indblanding i data i konti eller systemer, som du ikke ejer eller har udtrykkelig tilladelse til at interagere med.
• Udførelse af aktiviteter, der bevidst forstyrrer, forringer eller truer den operationelle integritet af vores produkter og relaterede tjenester eller systemer.
• Offentliggørelse af identificerede sårbarheder inden vores løsning.
• At engagere sig i nogen form for social manipulation, phishing-angreb eller vildledende praksis mod vores medarbejdere, brugere eller infrastruktur.
• Udførelse af fysiske sikkerhedsangreb på Sonovas aktiver.

Sårbarheder, der falder uden for dette programs anvendelsesområde

Dette program til offentliggørelse af sårbarheder fokuserer på sårbarheder relateret til Sonova-produkter, deres underliggende infrastruktur og relaterede tjenester. Som sådan er sårbarheder på vores hjemmeside eller offentligt tilgængelig infrastruktur ikke omfattet af dette program.

For at muliggøre en effektiv fordeling af ressourcer og fokusere på at afbøde sårbarheder med betydelig indvirkning definerer vi følgende kategorier som uden for dette sårbarhedsoplysningsprograms anvendelsesområde. Indberetning af disse vil muligvis ikke resultere i anerkendelse eller afhjælpende foranstaltninger:

• Indsendelser, der stammer fra automatiske scanningsværktøjer eller automatiske analyser.
• Bemærkninger vedrørende svage SSL/TLS-krypteringsalgoritmer og sårbarheder i TLS-opsætninger, medmindre der kan påvises en faktisk, udnyttelig risiko, der er specifik for vores miljø.
• Manglende anbefalede sikkerhedsforanstaltninger, implementering af biblioteker, der er kendt for sårbarheder, eller detaljerede fejlmeddelelser, medmindre disse indeholder klare, påviselige veje til udnyttelse.

Juridisk erklæring / Safe Harbour

Hos Sonova værdsætter vi sikkerhedsforskeres bidrag og anerkender vigtigheden af deres indsats for at forbedre sikkerheden i vores produkter.

Hvis du overholder retningslinjerne i vores politik for offentliggørelse af sårbarheder, betragtes dine handlinger som autoriserede, og vi vil ikke indlede retslige skridt mod dig. Vi støtter ansvarlig sikkerhedsforskning, men bemærk, at din overholdelse af denne politik ikke fritager dig for at overholde gældende lokal lovgivning. Hvis en tredjepart indleder retslige skridt i relation til dine aktiviteter i henhold til denne politik, skal du være opmærksom på, at vi, selvom vi tilstræber at afklare karakteren af din overholdelse af vores politik, ikke kan påtage os juridisk repræsentation eller direkte intervention på dine vegne.

Kontakt os

Hvis du har spørgsmål eller ønsker at indsende oplysninger om sikkerhedsrisici, bedes du kontakte vores kundeservice på https://eu.sennheiser-hearing.com/pages/contact/.