Introducción

En Sonova, nos comprometemos a garantizar la seguridad y resistencia de nuestros productos y servicios relacionados. Comprendemos que, a pesar de nuestros esfuerzos, pueden surgir vulnerabilidades. Animamos a todas las personas a informar de vulnerabilidades sospechosas o problemas de seguridad relacionados con nuestros productos o su software o infraestructura subyacente. Esto incluye investigadores de seguridad, clientes y consumidores finales, CERT (Equipos de Respuesta ante Emergencias Informáticas), grupos del sector, socios y todas las demás partes interesadas.

Antes de enviar un informe, lee atentamente esta política y asegúrate de que tus acciones se ajustan a sus directrices.

Informar de una vulnerabilidad

Te pedimos que si crees haber descubierto una posible vulnerabilidad de seguridad en nuestros productos o servicios relacionados, nos lo comuniques lo antes posible a través de nuestra organización de atención al cliente.

Al enviar un informe, sigue estas directrices:

  • Facilita información detallada sobre la posible vulnerabilidad, incluida una descripción clara y los pasos para reproducir el hallazgo. En el Anexo encontrarás una plantilla para informar de tu descubrimiento.
  • Evita cualquier acción que pueda perjudicar la confidencialidad, integridad, disponibilidad o seguridad de nuestros productos, servicios o datos. Abstente de causar ningún daño material, alterar datos, abusar de la escalada de privilegios o descargar más datos de los necesarios para demostrar la vulnerabilidad.
  • Mantén la confidencialidad de tus hallazgos hasta que hayamos completado nuestra investigación e implementado las medidas necesarias. Esto ayuda a proteger a nuestros usuarios y garantiza la gestión responsable de los problemas de seguridad.
  • Infórmanos con antelación de tu intención de divulgar públicamente la vulnerabilidad.
  • Facilita tus datos de contacto, como una dirección de correo electrónico o número de teléfono, para que podamos ponernos en contacto contigo y continuar con la investigación.

Nuestro compromiso

Al recibir un informe de una vulnerabilidad de seguridad, Sonova se compromete a lo siguiente:

  • Te confirmaremos la recepción de tu informe, verificando que tu envío se ha recibido y está siendo procesado.
  • Nuestro equipo de seguridad dedicado llevará a cabo una investigación exhaustiva de la vulnerabilidad reportada. Puede que te contactemos para obtener más información o aclaraciones que nos permitan comprender la vulnerabilidad en profundidad.
  • Priorizamos la resolución de las vulnerabilidades reportadas en función de su gravedad y complejidad. Nuestro equipo se compromete a tomar las medidas necesarias para abordar y mitigar los riesgos de forma rápida y eficaz.
  • Mantendremos una comunicación abierta y transparente contigo durante todo el proceso. Te mantendremos informado de nuestro progreso en la investigación y resolución del problema, con actualizaciones periódicas en las etapas clave.

Exclusiones

Aunque te animamos a reportar cualquier vulnerabilidad de seguridad que encuentres, ten en cuenta que las siguientes acciones están estrictamente prohibidas:

  • Usar escaneo automatizado invasivo o disruptivo contra nuestra infraestructura.
  • Acceder, descargar, modificar o interferir de cualquier otro modo con datos en cuentas o sistemas que no sean tuyos o para los que no tengas permiso explícito de interacción.
  • Realizar actividades que intencionalmente interrumpan, degraden o amenacen la integridad operativa de nuestros productos y servicios o sistemas relacionados.
  • Divulgar públicamente la vulnerabilidad identificada antes de nuestra resolución.
  • Participar en cualquier forma de ingeniería social, ataques de phishing o prácticas engañosas contra nuestros empleados, usuarios o infraestructura.
  • Llevar a cabo ataques de seguridad física sobre los activos de Sonova.

Vulnerabilidades fuera del alcance de este programa

Este programa de divulgación de vulnerabilidades se centra en vulnerabilidades relacionadas con los productos de Sonova, su infraestructura subyacente y servicios relacionados. Como tal, las vulnerabilidades en nuestro sitio web o infraestructura de cara al público no están actualmente dentro del alcance de este programa.

Para permitir una asignación eficiente de recursos y centrarnos en mitigar vulnerabilidades con impacto significativo, definimos las siguientes categorías como fuera del alcance de este programa de divulgación de vulnerabilidades. Reportarlas puede no resultar en reconocimiento o acciones de remediación:

  • Envíos resultantes de herramientas de escaneo automatizado o análisis automatizado.
  • Observaciones sobre algoritmos criptográficos SSL/TLS débiles y vulnerabilidades en configuraciones TLS, a menos que se pueda demostrar un riesgo real y explotable específico de nuestro entorno.
  • Ausencia de medidas de seguridad recomendadas, implementación de librerías conocidas por vulnerabilidades o mensajes de error detallados, a menos que estos incluyan vías claras y demostrables para la explotación.

Declaración Legal / Cláusula de Protección

En Sonova, valoramos las contribuciones de los investigadores de seguridad y reconocemos la importancia de sus esfuerzos para mejorar la seguridad de nuestros productos.

Si cumples con las directrices de nuestra política de divulgación de vulnerabilidades, tus acciones se considerarán autorizadas y no iniciaremos acciones legales contra ti. Aunque apoyamos la investigación de seguridad responsable, ten en cuenta que tu cumplimiento de esta política no te exime de cumplir con las leyes locales aplicables. Si un tercero inicia acciones legales relacionadas con tus actividades bajo esta política, ten presente que, aunque nuestro objetivo es aclarar la naturaleza de tu cumplimiento con nuestra política, no podemos participar en representación legal o intervención directa en tu nombre.

Contáctanos

Para cualquier pregunta o envío relacionado con vulnerabilidades de seguridad, ponte en contacto con nuestro servicio al cliente https://eu.sennheiser-hearing.com/pages/contact/.