Richtlinie zur koordinierten Offenlegung von Schwachstellen

Einleitung

Bei Sonova sind wir bestrebt, die Sicherheit und Widerstandsfähigkeit unserer Produkte und zugehörigen Services zu gewährleisten. Wir verstehen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Jeder ist aufgerufen, vermutete Schwachstellen oder Sicherheitsbedenken in Bezug auf unsere Produkte oder ihre zugrunde liegende Software oder Infrastruktur zu melden. Dies schließt Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Branchengruppen, Partner und alle anderen Interessengruppen ein.

Bitte lies diese Richtlinie vor dem Einreichen eines Berichts sorgfältig durch und stelle sicher, dass deine Handlungen mit ihren Richtlinien übereinstimmen.

Melden einer Schwachstelle

Wir bitten alle, die glauben, eine potenzielle Sicherheitslücke in unseren Produkten oder zugehörigen Services entdeckt zu haben, diese so schnell wie möglich über unsere Kundendienstorganisation zu melden.

Bitte befolge diese Richtlinien, wenn du einen Bericht einreichst:

Gib detaillierte Informationen über die potenzielle Schwachstelle an, einschließlich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Im Anhang findest du eine Vorlage, um deinen Befund zu melden.
Vermeide alle Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen können. Bitte unterlasse jegliche materielle Schäden, Veränderungen von Daten, Missbrauch von Privilegienerweiterungen oder das Herunterladen von mehr Daten als zur Demonstration der Schwachstelle erforderlich sind.
Wahre die Vertraulichkeit deiner Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen ergriffen haben. Dies hilft, unsere Nutzer zu schützen und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
Bitte informiere uns im Voraus über deine Absicht, die Schwachstelle öffentlich zu machen.
Bitte gib deine Kontaktdaten an, z. B. eine E-Mail-Adresse oder Telefonnummer, damit wir dich für weitere Untersuchungen kontaktieren können.

Unser Versprechen

Nach Erhalt einer Meldung über eine Sicherheitslücke verpflichtet sich Sonova zu Folgendem:

Wir bestätigen den Eingang deiner Meldung und bestätigen, dass deine Einreichung empfangen wurde und bearbeitet wird.
Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir werden dich möglicherweise um weitere Informationen oder Klarstellungen bitten, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
Wir priorisieren die Behebung gemeldeter Schwachstellen basierend auf ihrem Schweregrad und ihrer Komplexität. Unser Team ist bestrebt, die notwendigen Schritte zu unternehmen, um Risiken schnell und effektiv zu beheben und zu minimieren.
Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit dir pflegen. Du wirst über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei du in wichtigen Phasen regelmäßige Updates erhältst.

Ausschlüsse

Wir begrüßen zwar die Meldung von Sicherheitslücken, weisen jedoch darauf hin, dass die folgenden Handlungen strengstens untersagt sind:

Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
Zugriff, Herunterladen, Modifizieren oder anderweitiges Eingreifen in Daten in Konten oder Systemen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis zur Interaktion hast.
Durchführung von Aktivitäten, die absichtlich die operative Integrität unserer Produkte und zugehörigen Services oder Systeme stören, beeinträchtigen oder bedrohen.
Öffentliche Offenlegung einer identifizierten Schwachstelle vor unserer Lösung.
Beteiligung an jeglicher Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegen unsere Mitarbeiter, Nutzer oder Infrastruktur.
Durchführung physischer Sicherheitsangriffe auf die Vermögenswerte von Sonova.

Schwachstellen, die nicht im Rahmen dieses Programms liegen

Dieses Schwachstellen-Offenlegungsprogramm konzentriert sich auf Schwachstellen im Zusammenhang mit Sonova-Produkten, ihrer zugrunde liegenden Infrastruktur und zugehörigen Services. Daher liegen Schwachstellen auf unserer Website oder öffentlich zugänglichen Infrastruktur derzeit nicht im Rahmen dieses Programms.

Um eine effiziente Ressourcenzuweisung zu ermöglichen und den Fokus auf die Behebung von Schwachstellen mit erheblichen Auswirkungen zu legen, definieren wir die folgenden Kategorien als außerhalb des Rahmens dieses Schwachstellen-Offenlegungsprogramms. Die Meldung dieser kann möglicherweise nicht zu einer Bestätigung oder Behebungsmaßnahmen führen:

Einsendungen, die aus automatisierten Scan-Tools oder automatisierten Analysen resultieren.
Beobachtungen bezüglich schwacher SSL/TLS-kryptografischer Algorithmen und Schwachstellen in TLS-Setups, es sei denn, es kann ein tatsächliches, ausnutzbares Risiko speziell für unsere Umgebung nachgewiesen werden.
Fehlen empfohlener Sicherheitsmaßnahmen, Implementierung von Bibliotheken mit bekannten Schwachstellen oder detaillierte Fehlermeldungen, es sei denn, diese beinhalten klare, nachweisbare Wege zur Ausnutzung.

Rechtliche Hinweise / Safe Harbour

Bei Sonova schätzen wir die Beiträge von Sicherheitsforschern und erkennen die Bedeutung ihrer Bemühungen zur Verbesserung der Sicherheit unserer Produkte an.

Wenn du die Richtlinien unserer Richtlinie zur Offenlegung von Schwachstellen einhältst, werden deine Handlungen als autorisiert betrachtet, und wir werden keine rechtlichen Schritte gegen dich einleiten. Obwohl wir verantwortungsvolle Sicherheitsforschung unterstützen, beachte bitte, dass deine Einhaltung dieser Richtlinie dich nicht von der Einhaltung geltender lokaler Gesetze befreit. Sollten rechtliche Schritte von Dritten im Zusammenhang mit deinen Aktivitäten im Rahmen dieser Richtlinie eingeleitet werden, beachte bitte, dass wir zwar die Art deiner Einhaltung unserer Richtlinie klarstellen möchten, wir jedoch keine rechtliche Vertretung oder direkte Intervention in deinem Namen übernehmen können.