Introducción

En Sonova, nos comprometemos a garantizar la seguridad y la resiliencia de nuestros productos y servicios relacionados. Entendemos que, a pesar de nuestros esfuerzos, pueden surgir vulnerabilidades. Animamos a todo el mundo a que informe de cualquier sospecha de vulnerabilidad o problema de seguridad relacionado con nuestros productos o con el software o la infraestructura subyacentes. Esto incluye a investigadores de seguridad, clientes y consumidores finales, CERT (equipos de respuesta a emergencias informáticas), grupos industriales, socios y todas las demás partes interesadas.

Antes de enviar un informe, lea detenidamente esta política y asegúrese de que sus acciones se ajustan a sus directrices.

Notificación de una vulnerabilidad

Rogamos a cualquier persona que crea haber descubierto una posible vulnerabilidad de seguridad en nuestros productos o servicios relacionados que nos lo comunique lo antes posible a través de nuestro servicio de atención al cliente.

Al enviar un informe, siga estas directrices:

  • Proporcione información detallada sobre la posible vulnerabilidad, incluyendo una descripción clara y los pasos para reproducir el hallazgo. Encontrará una plantilla para informar de su hallazgo en el anexo.
  • Evite cualquier acción que pueda perjudicar la confidencialidad, integridad, disponibilidad o seguridad de nuestros productos y servicios o datos. Absténgase de causar daños materiales, alterar datos, abusar de la escalada de privilegios o descargar más datos de los necesarios para demostrar la vulnerabilidad.
  • Mantenga la confidencialidad de sus hallazgos hasta que hayamos completado nuestra investigación y hayamos implementado las medidas necesarias. Esto ayuda a proteger a nuestros usuarios y garantiza el manejo responsable de los problemas de seguridad.
  • Por favor, infórmenos con antelación sobre su intención de divulgar públicamente la vulnerabilidad.
  • Por favor, facilítenos sus datos de contacto, como una dirección de correo electrónico o un número de teléfono, para que podamos ponernos en contacto con usted y seguir investigando el asunto.

Nuestro compromiso

Al recibir un informe sobre una vulnerabilidad de seguridad, Sonova se compromete a lo siguiente:

  • Acusaremos recibo de su informe, confirmando que su envío ha sido recibido y está siendo procesado.
  • Nuestro equipo de seguridad especializado llevará a cabo una investigación exhaustiva de la vulnerabilidad notificada. Es posible que nos pongamos en contacto con usted para obtener más información o aclaraciones con el fin de garantizar una comprensión completa de la vulnerabilidad.
  • Priorizamos la resolución de las vulnerabilidades notificadas en función de su gravedad y complejidad. Nuestro equipo se compromete a tomar las medidas necesarias para abordar y mitigar los riesgos de forma rápida y eficaz.
  • Mantendremos una comunicación abierta y transparente con usted durante todo el proceso. Le mantendremos informado sobre el progreso de la investigación y la resolución del problema, proporcionándole actualizaciones periódicas en las etapas clave.

Exclusiones

Aunque animamos a que se informe de cualquier vulnerabilidad de seguridad que se detecte, tenga en cuenta que las siguientes acciones están estrictamente prohibidas:

  • Utilizar escaneos automatizados invasivos o disruptivos contra nuestra infraestructura.
  • Acceder, descargar, modificar o interferir de cualquier otra forma con datos de cuentas o sistemas que no sean de su propiedad o para los que no tenga permiso explícito para interactuar.
  • Realizar actividades que perturben, degraden o amenacen intencionadamente la integridad operativa de nuestros productos y servicios o sistemas relacionados.
  • Divulgar públicamente una vulnerabilidad identificada antes de que la hayamos resuelto.
  • Participar en cualquier forma de ingeniería social, ataques de phishing o prácticas engañosas contra nuestros empleados, usuarios o infraestructura.
  • Realizar ataques físicos contra los activos de Sonova.

Vulnerabilidades fuera del alcance de este programa

Este programa de divulgación de vulnerabilidades se centra en las vulnerabilidades relacionadas con los productos de Sonova, su infraestructura subyacente y los servicios relacionados. Por lo tanto, las vulnerabilidades de nuestro sitio web o de la infraestructura de acceso público no entran actualmente en el ámbito de aplicación de este programa.

Para permitir una asignación eficiente de los recursos y centrarnos en mitigar las vulnerabilidades con un impacto significativo, definimos las siguientes categorías como fuera del alcance de este programa de divulgación de vulnerabilidades. La notificación de estas vulnerabilidades puede no dar lugar a acciones de reconocimiento o corrección:

  • Envíos resultantes de herramientas de escaneo automatizadas o análisis automatizados.
  • Observaciones relativas a algoritmos criptográficos SSL/TLS débiles y vulnerabilidades en configuraciones TLS, a menos que se pueda demostrar un riesgo real y explotable específico de nuestro entorno.
  • Ausencia de medidas de seguridad recomendadas, implementación de bibliotecas conocidas por sus vulnerabilidades o mensajes de error detallados, a menos que estos incluyan vías claras y demostrables para su explotación.

Declaración legal / Puerto seguro

En Sonova, valoramos las contribuciones de los investigadores de seguridad y reconocemos la importancia de sus esfuerzos para mejorar la seguridad de nuestros productos.

Si cumple con las directrices de nuestra política de divulgación de vulnerabilidades, sus acciones se considerarán autorizadas y no emprenderemos acciones legales contra usted. Aunque apoyamos la investigación responsable en materia de seguridad, tenga en cuenta que el cumplimiento de esta política no le exime de cumplir con las leyes locales aplicables. Si un tercero inicia acciones legales en relación con sus actividades en virtud de esta política, tenga en cuenta que, aunque nuestro objetivo es aclarar la naturaleza de su cumplimiento de nuestra política, no podemos representarle legalmente ni intervenir directamente en su nombre.

Contáctenos

Si tiene alguna pregunta o desea enviar información sobre vulnerabilidades de seguridad, póngase en contacto con nuestro servicio de atención al cliente en https://eu.sennheiser-hearing.com/pages/contact/.