Introducción

En Sonova, nos comprometemos a garantizar la seguridad y la resiliencia de nuestros productos y servicios relacionados. Entendemos que, a pesar de nuestros esfuerzos, pueden surgir vulnerabilidades. Animamos a todos a que informen de cualquier sospecha de vulnerabilidad o problema de seguridad relacionado con nuestros productos o con el software o la infraestructura subyacentes. Esto incluye a investigadores de seguridad, clientes y consumidores finales, CERT (equipos de respuesta a emergencias informáticas), grupos industriales, socios y todas las demás partes interesadas.

Antes de enviar un informe, lee detenidamente esta política y asegúrate de que tus acciones se ajustan a sus directrices.

Notificar una vulnerabilidad

Rogamos a cualquiera que crea haber descubierto una posible vulnerabilidad de seguridad en nuestros productos o servicios relacionados que nos lo comunique lo antes posible a través de nuestro servicio de atención al cliente.

Al enviar un informe, sigue estas pautas:

  • Proporciona información detallada sobre la posible vulnerabilidad, incluyendo una descripción clara y los pasos para reproducir el hallazgo. En el anexo encontrarás una plantilla para informar de tu hallazgo.
  • Evita cualquier acción que pueda perjudicar la confidencialidad, integridad, disponibilidad o seguridad de nuestros productos, servicios o datos. Abstente de causar cualquier daño material, alterar datos, abusar de la escalada de privilegios o descargar más datos de los necesarios para demostrar la vulnerabilidad.
  • Mantén la confidencialidad de tus hallazgos hasta que hayamos completado nuestra investigación y hayamos implementado las medidas necesarias. Esto ayuda a proteger a nuestros usuarios y garantiza el manejo responsable de los problemas de seguridad.
  • Por favor, infórmanos con antelación sobre tu intención de revelar públicamente la vulnerabilidad.
  • Proporciona tus datos de contacto, como tu dirección de correo electrónico o número de teléfono, para que podamos ponernos en contacto contigo y seguir investigando el caso.

Nuestro compromiso

Al recibir un informe sobre una vulnerabilidad de seguridad, Sonova se compromete a lo siguiente:

  • Acusaremos recibo de tu informe, confirmando que tu envío ha sido recibido y está siendo procesado.
  • Nuestro equipo de seguridad especializado llevará a cabo una investigación exhaustiva de la vulnerabilidad notificada. Es posible que nos pongamos en contacto contigo para solicitarte más información o aclaraciones con el fin de garantizar una comprensión completa de la vulnerabilidad.
  • Priorizamos la resolución de las vulnerabilidades notificadas en función de su gravedad y complejidad. Nuestro equipo se compromete a tomar las medidas necesarias para abordar y mitigar los riesgos de forma rápida y eficaz.
  • Mantendremos una comunicación abierta y transparente contigo durante todo el proceso. Te mantendremos informado sobre el progreso de la investigación y la resolución del problema, con actualizaciones periódicas en las etapas clave.

Exclusiones

Aunque animamos a que se informe de cualquier vulnerabilidad de seguridad que se detecte, ten en cuenta que las siguientes acciones están estrictamente prohibidas:

  • Utilizar escaneos automatizados invasivos o disruptivos contra nuestra infraestructura.
  • Acceder, descargar, modificar o interferir de cualquier otra forma con datos de cuentas o sistemas que no sean de tu propiedad o para los que no tengas permiso explícito para interactuar.
  • Realizar actividades que perturben, degraden o amenacen intencionadamente la integridad operativa de nuestros productos y servicios o sistemas relacionados.
  • Divulgar públicamente la vulnerabilidad identificada antes de que la hayamos resuelto.
  • Participar en cualquier forma de ingeniería social, ataques de phishing o prácticas engañosas contra nuestros empleados, usuarios o infraestructura.
  • Realizar ataques físicos contra los activos de Sonova.

Vulnerabilidades fuera del alcance de este programa

Este programa de divulgación de vulnerabilidades se centra en las vulnerabilidades relacionadas con los productos de Sonova, su infraestructura subyacente y los servicios relacionados. Por lo tanto, las vulnerabilidades de nuestro sitio web o de la infraestructura de acceso público no entran actualmente en el ámbito de aplicación de este programa.

Para permitir una asignación eficiente de los recursos y centrarse en mitigar las vulnerabilidades con un impacto significativo, definimos las siguientes categorías como fuera del alcance de este programa de divulgación de vulnerabilidades. La notificación de estas vulnerabilidades puede no dar lugar a acciones de reconocimiento o corrección:

  • Envíos resultantes de herramientas de escaneo automatizadas o análisis automatizados.
  • Observaciones relativas a algoritmos criptográficos SSL/TLS débiles y vulnerabilidades en configuraciones TLS, a menos que se pueda demostrar un riesgo real y explotable específico de tu entorno.
  • Ausencia de medidas de seguridad recomendadas, implementación de bibliotecas conocidas por sus vulnerabilidades o mensajes de error detallados, a menos que estos incluyan vías claras y demostrables para su explotación.

Declaración legal / Puerto seguro

En Sonova, valoramos las contribuciones de los investigadores de seguridad y reconocemos la importancia de vuestros esfuerzos para mejorar la seguridad de nuestros productos.

Si cumples con las directrices de nuestra política de divulgación de vulnerabilidades, tus acciones se considerarán autorizadas y no emprenderemos acciones legales contra ti. Aunque apoyamos la investigación responsable en materia de seguridad, ten en cuenta que el cumplimiento de esta política no te exime de cumplir con las leyes locales aplicables. Si un tercero inicia acciones legales en relación con tus actividades en virtud de esta política, ten en cuenta que, aunque nuestro objetivo es aclarar la naturaleza de tu cumplimiento de nuestra política, no podemos representarte legalmente ni intervenir directamente en tu nombre.

Contáctanos

Si tienes alguna pregunta o quieres enviar información sobre vulnerabilidades de seguridad, ponte en contacto con nuestro servicio de atención al cliente en https://eu.sennheiser-hearing.com/pages/contact/.