Johdanto

Sonovalla olemme sitoutuneet varmistamaan tuotteidemme ja niihin liittyvien palveluiden turvallisuuden ja kestävyyden. Ymmärrämme, että ponnisteluistamme huolimatta haavoittuvuuksia voi esiintyä. Kaikkia kannustetaan ilmoittamaan epäillyistä haavoittuvuuksista tai tietoturvaongelmista, jotka liittyvät tuotteisiimme tai niiden taustalla olevaan ohjelmistoon tai infrastruktuuriin. Tämä koskee tietoturvatutkijoita, asiakkaita ja loppukäyttäjiä, CERT-ryhmiä (Computer Emergency Response Teams), toimialaryhmiä, kumppaneita ja kaikkia muita sidosryhmiä.

Ennen raportin lähettämistä lue tämä käytäntö huolellisesti ja varmista, että toimintasi on sen ohjeiden mukaista.

Haavoittuvuuden ilmoittaminen

Pyydämme ystävällisesti kaikkia, jotka uskovat löytäneensä mahdollisen tietoturva-aukon tuotteistamme tai niihin liittyvistä palveluistamme, ilmoittamaan siitä meille mahdollisimman pian asiakaspalvelumme kautta.

Kun lähetät raportin, noudata seuraavia ohjeita:

  • Anna yksityiskohtaiset tiedot mahdollisesta haavoittuvuudesta, mukaan lukien selkeä kuvaus ja vaiheet löydöksen toistamiseksi. Löydät mallipohjan ilmoituksen tekemiseen liitteestä.
  • Vältä kaikkia toimia, jotka voivat vahingoittaa tuotteidemme ja palveluidemme tai tietojen luottamuksellisuutta, eheyttä, saatavuutta tai turvallisuutta. Älä aiheuta aineellista vahinkoa, muuta tietoja, käytä väärin oikeuksien laajentamista tai lataa enemmän tietoja kuin on tarpeen haavoittuvuuden osoittamiseksi.
  • Säilytä löydöksiesi luottamuksellisuus, kunnes olemme saaneet tutkimuksemme päätökseen ja toteuttaneet tarvittavat toimenpiteet. Tämä auttaa suojaamaan käyttäjiämme ja varmistaa tietoturvaongelmien vastuullisen käsittelyn.
  • Ilmoita meille etukäteen aikomuksestasi julkistaa haavoittuvuus.
  • Anna yhteystietosi, kuten sähköpostiosoitteesi tai puhelinnumerosi, jotta voimme ottaa sinuun yhteyttä jatkotutkimuksia varten.

Sitoutumisemme

Saatuaan ilmoituksen tietoturva-aukosta Sonova sitoutuu seuraavaan:

  • Vahvistamme ilmoituksesi vastaanottamisen ja ilmoitamme, että ilmoituksesi on vastaanotettu ja käsitellään parhaillaan.
  • Omistautunut tietoturvatiimimme suorittaa perusteellisen tutkimuksen ilmoitetusta haavoittuvuudesta. Voimme ottaa sinuun yhteyttä lisätietojen tai selvennysten saamiseksi varmistaaksemme haavoittuvuuden kattavan ymmärtämisen.
  • Priorisoimme ilmoitettujen haavoittuvuuksien ratkaisemisen niiden vakavuuden ja monimutkaisuuden perusteella. Tiimimme on sitoutunut ryhtymään tarvittaviin toimiin riskien käsittelemiseksi ja lieventämiseksi nopeasti ja tehokkaasti.
  • Ylläpidämme avointa ja läpinäkyvää viestintää kanssasi koko prosessin ajan. Sinua pidetään ajan tasalla edistymisestämme asian tutkimisessa ja ratkaisemisessa, ja säännöllisiä päivityksiä toimitetaan tärkeissä vaiheissa.

Poissulkemiset

Vaikka kannustamme ilmoittamaan kaikista löydetyistä tietoturva-aukoista, huomaa, että seuraavat toimet ovat ehdottomasti kiellettyjä:

  • Invasiivisen tai häiritsevän automaattisen skannauksen käyttö infrastruktuuriamme vastaan.
  • Tietojen käyttäminen, lataaminen, muokkaaminen tai muulla tavoin häiritseminen tileillä tai järjestelmissä, joita et omista tai joihin sinulla ei ole nimenomaista lupaa olla vuorovaikutuksessa.
  • Toimien suorittaminen, jotka tarkoituksellisesti häiritsevät, heikentävät tai uhkaavat tuotteidemme ja niihin liittyvien palveluiden tai järjestelmien toiminnallista eheyttä.
  • Tunnistetun haavoittuvuuden julkistaminen ennen ratkaisumme valmistumista.
  • Minkäänlaiseen sosiaaliseen manipulointiin, tietojenkalasteluhyökkäyksiin tai harhaanjohtaviin käytäntöihin ryhtyminen työntekijöitämme, käyttäjiämme tai infrastruktuuriamme vastaan.
  • Sonovan omaisuuteen kohdistuvat fyysiset turvallisuusuhkat.

Ohjelman ulkopuoliset haavoittuvuudet

Tämä haavoittuvuuksien julkistamisohjelma keskittyy Sonovan tuotteisiin, niiden taustalla olevaan infrastruktuuriin ja niihin liittyviin palveluihin liittyviin haavoittuvuuksiin. Siksi verkkosivustomme tai julkisesti näkyvän infrastruktuurin haavoittuvuudet eivät tällä hetkellä kuulu tämän ohjelman piiriin.

Resurssien tehokkaan kohdentamisen ja merkittävien haavoittuvuuksien lieventämiseen keskittymisen mahdollistamiseksi määrittelemme seuraavat kategoriat tämän haavoittuvuuksien ilmoitusohjelman ulkopuolelle. Näiden ilmoittaminen ei välttämättä johda tunnustukseen tai korjaaviin toimenpiteisiin:

  • Automaattisilla skannausvälineillä tai automaattisella analyysillä tuotetut lähetykset.
  • Havainnot heikoista SSL/TLS-salausalgoritmeista ja TLS-asetusten haavoittuvuuksista, ellei todellista, hyödynnettävissä olevaa riskiä, joka on spesifinen ympäristöllemme, voida osoittaa.
  • Suositeltujen turvatoimien puuttuminen, haavoittuvuuksista tunnettujen kirjastojen käyttöönotto tai yksityiskohtaiset virheilmoitukset, elleivät nämä sisällä selkeitä, osoitettavissa olevia hyödyntämisreittejä.

Oikeudellinen ilmoitus / Safe Harbour

Sonovalla arvostamme tietoturvatutkijoiden panosta ja tunnustamme heidän ponnistelujensa tärkeyden tuotteidemme turvallisuuden parantamisessa.

Jos noudatat haavoittuvuuksien julkistamiskäytäntömme ohjeita, toimiasi pidetään valtuutettuina, emmekä ryhdy oikeustoimiin sinua vastaan. Vaikka tuemme vastuullista tietoturvatutkimusta, huomaa, että tämän käytännön noudattaminen ei vapauta sinua noudattamasta sovellettavia paikallisia lakeja. Jos kolmas osapuoli aloittaa oikeustoimia tähän käytäntöön liittyvien toimiesi vuoksi, huomaa, että vaikka pyrimme selventämään käytäntömme noudattamisen luonnetta, emme voi tarjota oikeudellista edustusta tai suoraa väliintuloa puolestasi.

Ota yhteyttä

Kaikissa tietoturva-aukkoihin liittyvissä kysymyksissä tai ilmoituksissa ota yhteyttä asiakaspalveluumme https://eu.sennheiser-hearing.com/pages/contact/.