Política coordinada de divulgación de vulnerabilidades

Introducción

En Sonova, nos comprometemos a garantizar la seguridad y la resiliencia de nuestros productos y servicios relacionados. Entendemos que, a pesar de nuestros esfuerzos, pueden surgir vulnerabilidades. Se anima a todos a informar sobre posibles vulnerabilidades o problemas de seguridad relacionados con nuestros productos o su software o infraestructura subyacente. Esto incluye a investigadores de seguridad, clientes y consumidores finales, CERTs (Equipos de Respuesta a Emergencias Informáticas), grupos industriales, socios y todas las demás partes interesadas.

Antes de enviar un informe, lee detenidamente esta política y asegúrate de que tus acciones se ajustan a sus directrices.

Notificar una vulnerabilidad

Rogamos a cualquier persona que crea haber descubierto una posible vulnerabilidad de seguridad en nuestros productos o servicios relacionados que nos la informe lo antes posible a través de nuestra organización de servicio al cliente.

Al enviar un informe, sigue estas pautas:

• Proporciona información detallada sobre la posible vulnerabilidad, incluyendo una descripción clara y los pasos para reproducir el hallazgo. En el anexo encontrarás una plantilla para informar de tu hallazgo.
• Evite cualquier acción que pueda dañar la confidencialidad, integridad, disponibilidad o seguridad de nuestros productos y servicios o datos. Por favor, absténgase de causar cualquier daño material, alterar datos, abusar de la escalada de privilegios o descargar más datos de los necesarios para demostrar la vulnerabilidad.
• Mantén la confidencialidad de tus hallazgos hasta que hayamos completado nuestra investigación y hayamos implementado las medidas necesarias. Esto ayuda a proteger a nuestros usuarios y garantiza el manejo responsable de los problemas de seguridad.
• Por favor, infórmanos con antelación sobre tu intención de revelar públicamente la vulnerabilidad.
• Proporciona tus datos de contacto, como tu dirección de correo electrónico o número de teléfono, para que podamos ponernos en contacto contigo y seguir investigando el caso.

Nuestro compromiso

Al recibir un informe de una vulnerabilidad de seguridad, Sonova se compromete a lo siguiente:

• Acusaremos recibo de su informe, confirmando que su envío ha sido recibido y está siendo procesado.
• Nuestro equipo de seguridad especializado llevará a cabo una investigación exhaustiva de la vulnerabilidad notificada. Es posible que nos pongamos en contacto contigo para solicitarte más información o aclaraciones con el fin de garantizar una comprensión completa de la vulnerabilidad.
• Priorizamos la resolución de las vulnerabilidades reportadas en función de su gravedad y complejidad. Nuestro equipo se compromete a tomar las medidas necesarias para abordar y mitigar los riesgos de forma rápida y eficaz.
• Mantendremos una comunicación abierta y transparente con usted durante todo el proceso. Se le mantendrá informado de nuestro progreso en la investigación y resolución del problema, con actualizaciones periódicas en las etapas clave.

Exclusiones

Aunque fomentamos la notificación de cualquier vulnerabilidad de seguridad encontrada, tenga en cuenta que las siguientes acciones están estrictamente prohibidas:

• Utilizar escaneos automatizados invasivos o disruptivos contra nuestra infraestructura.
• Acceder, descargar, modificar o interferir de cualquier otra forma con datos en cuentas o sistemas que no le pertenecen o para los que no tiene permiso explícito para interactuar.
• Realizar actividades que intencionadamente interrumpan, degraden o amenacen la integridad operativa de nuestros productos y servicios o sistemas relacionados.
• Divulgar la vulnerabilidad identificada públicamente antes de nuestra resolución.
• Participar en cualquier forma de ingeniería social, ataques de phishing o prácticas engañosas contra nuestros empleados, usuarios o infraestructura.
• Realizar ataques físicos contra los activos de Sonova.

Vulnerabilidades fuera del alcance de este programa

Este programa de divulgación de vulnerabilidades se centra en las vulnerabilidades relacionadas con los productos Sonova, su infraestructura subyacente y los servicios relacionados. Como tal, las vulnerabilidades en nuestro sitio web o en la infraestructura de cara al público no están actualmente dentro del alcance de este programa.

Para permitir una asignación eficiente de recursos y centrarnos en mitigar las vulnerabilidades con un impacto significativo, definimos las siguientes categorías como fuera del alcance de este programa de divulgación de vulnerabilidades. La notificación de estas puede no dar lugar a un acuse de recibo o a acciones de remediación:

• Envíos resultantes de herramientas de escaneo automatizadas o análisis automatizados.
• Observaciones relativas a algoritmos criptográficos SSL/TLS débiles y vulnerabilidades en configuraciones TLS, a menos que se pueda demostrar un riesgo real y explotable específico para nuestro entorno.
• Ausencia de medidas de seguridad recomendadas, implementación de bibliotecas conocidas por sus vulnerabilidades o mensajes de error detallados, a menos que estos incluyan vías claras y demostrables para su explotación.

Declaración legal / Puerto seguro

En Sonova, valoramos las contribuciones de los investigadores de seguridad y reconocemos la importancia de vuestros esfuerzos para mejorar la seguridad de nuestros productos.

Si cumple con las directrices de nuestra política de divulgación de vulnerabilidades, sus acciones se considerarán autorizadas y no iniciaremos acciones legales en su contra. Aunque apoyamos la investigación de seguridad responsable, tenga en cuenta que su adhesión a esta política no le exime de cumplir con las leyes locales aplicables. Si un tercero inicia acciones legales relacionadas con sus actividades bajo esta política, tenga en cuenta que, si bien nuestro objetivo es aclarar la naturaleza de su cumplimiento con nuestra política, no podemos ofrecer representación legal ni intervención directa en su nombre.

Contáctanos

Para cualquier pregunta o envío relacionado con vulnerabilidades de seguridad, póngase en contacto con nuestro servicio de atención al cliente https://eu.sennheiser-hearing.com/pages/contact/.