Introducción

En Sonova, nos comprometemos a garantizar la seguridad y la resiliencia de nuestros productos y servicios relacionados. Somos conscientes de que, a pesar de nuestros esfuerzos, pueden surgir vulnerabilidades. Animamos a todo el mundo a que nos informe de cualquier sospecha de vulnerabilidad o problema de seguridad relacionado con nuestros productos, su software subyacente o su infraestructura. Esto incluye a investigadores de seguridad, clientes y consumidores finales, equipos CERT (equipos de respuesta a emergencias informáticas), grupos del sector, socios y todas las demás partes interesadas.

Antes de enviar un informe, lee atentamente esta política y asegúrate de que tus acciones se ajustan a sus directrices.

Cómo informar de una vulnerabilidad

Rogamos a cualquiera que crea haber detectado una posible vulnerabilidad de seguridad en nuestros productos o servicios relacionados que nos lo comunique lo antes posible a través de nuestro servicio de atención al cliente.

Cuando envíes un informe, sigue estas instrucciones:

  • Proporciona información detallada sobre la posible vulnerabilidad, incluyendo una descripción clara y los pasos para reproducir el hallazgo. En el anexo encontrarás una plantilla para informar sobre tu hallazgo.
  • Evita cualquier acción que pueda poner en peligro la confidencialidad, la integridad, la disponibilidad o la seguridad de nuestros productos, servicios o datos. Por favor, no causes ningún daño significativo, no modifiques los datos, no abuses de la escalada de privilegios ni descargues más datos de los necesarios para demostrar la vulnerabilidad.
  • Mantén la confidencialidad de tus hallazgos hasta que hayamos completado nuestra investigación y aplicado las medidas necesarias. Esto ayuda a proteger a nuestros usuarios y garantiza una gestión responsable de los problemas de seguridad.
  • Por favor, avísanos con antelación si tienes intención de hacer pública la vulnerabilidad.
  • Por favor, facilítanos tus datos de contacto, como una dirección de correo electrónico o un número de teléfono, para que podamos ponernos en contacto contigo y seguir investigando el asunto.

Nuestro compromiso

Al recibir un informe sobre una vulnerabilidad de seguridad, Sonova se compromete a lo siguiente:

  • Te enviaremos un acuse de recibo de tu informe, confirmando que lo hemos recibido y que lo estamos tramitando.
  • Nuestro equipo de seguridad especializado llevará a cabo una investigación exhaustiva de la vulnerabilidad notificada. Es posible que nos pongamos en contacto contigo para pedirte más información o aclaraciones, con el fin de asegurarnos de que comprendemos bien la vulnerabilidad.
  • Priorizamos la resolución de las vulnerabilidades notificadas en función de su gravedad y complejidad. Nuestro equipo se compromete a tomar las medidas necesarias para abordar y mitigar los riesgos de forma rápida y eficaz.
  • Mantendremos una comunicación abierta y transparente contigo durante todo el proceso. Te mantendremos informado de cómo avanza la investigación y la resolución del asunto, y te enviaremos actualizaciones periódicas en las etapas clave.

Exclusiones

Aunque te animamos a que nos informes de cualquier vulnerabilidad de seguridad que encuentres, ten en cuenta que las siguientes acciones están estrictamente prohibidas:

  • Realizar escaneos automatizados invasivos o que perturben nuestra infraestructura.
  • Acceder, descargar, modificar o interferir de cualquier otra forma en los datos de cuentas o sistemas que no sean de tu propiedad o para los que no tengas permiso explícito para interactuar.
  • Realizar actividades que perturben, deterioren o pongan en peligro de forma intencionada la integridad operativa de nuestros productos y los servicios o sistemas relacionados.
  • Dar a conocer públicamente una vulnerabilidad detectada antes de que la hayamos solucionado.
  • Participar en cualquier tipo de ingeniería social, ataques de phishing o prácticas engañosas contra nuestros empleados, usuarios o infraestructura.
  • Llevar a cabo ataques contra la seguridad física de los activos de Sonova.

Vulnerabilidades que quedan fuera del alcance de este programa

Este programa de notificación de vulnerabilidades se centra en las vulnerabilidades relacionadas con los productos de Sonova, su infraestructura subyacente y los servicios asociados. Por lo tanto, las vulnerabilidades de nuestro sitio web o de nuestra infraestructura de acceso público no entran actualmente dentro del ámbito de aplicación de este programa.

Para poder distribuir los recursos de forma eficiente y centrarnos en mitigar las vulnerabilidades que tienen un impacto significativo, hemos decidido que las siguientes categorías quedan fuera del alcance de este programa de divulgación de vulnerabilidades. Es posible que, si las comunicas, no recibas confirmación de recepción ni se tomen medidas para solucionarlas:

  • Envíos generados por herramientas de escaneo automático o análisis automatizados.
  • Observaciones sobre algoritmos criptográficos SSL/TLS poco seguros y vulnerabilidades en las configuraciones de TLS, a menos que se pueda demostrar un riesgo real y explotable específico de nuestro entorno.
  • La falta de las medidas de seguridad recomendadas, el uso de bibliotecas conocidas por sus vulnerabilidades o la ausencia de mensajes de error detallados, a menos que estos incluyan vías claras y demostrables para su explotación.

Aviso legal / Cláusula de exención de responsabilidad

En Sonova, valoramos las aportaciones de los investigadores de seguridad y reconocemos la importancia de su labor para mejorar la seguridad de nuestros productos.

Si cumples con las directrices de nuestra política de divulgación de vulnerabilidades, tus acciones se considerarán autorizadas y no emprenderemos acciones legales contra ti. Aunque apoyamos la investigación responsable en materia de seguridad, ten en cuenta que el hecho de que sigas esta política no te exime de cumplir con la legislación local aplicable. Si un tercero inicia acciones legales relacionadas con tus actividades en el marco de esta política, ten en cuenta que, aunque nuestro objetivo es aclarar la naturaleza de tu cumplimiento de nuestra política, no podemos ofrecerte representación legal ni intervenir directamente en tu nombre.

Contáctanos

Si tienes alguna pregunta o quieres informarnos de alguna vulnerabilidad de seguridad, ponte en contacto con nuestro servicio de atención al cliente en https://eu.sennheiser-hearing.com/pages/contact/.