Johdanto

Sonovalla olemme sitoutuneet varmistamaan tuotteidemme ja niihin liittyvien palveluidemme turvallisuuden ja kestävyyden. Ymmärrämme, että huolimatta ponnisteluistamme haavoittuvuuksia voi silti ilmetä. Kannustamme kaikkia ilmoittamaan epäillyistä haavoittuvuuksista tai turvallisuuteen liittyvistä huolenaiheista, jotka koskevat tuotteitamme tai niiden taustalla olevaa ohjelmistoa tai infrastruktuuria. Tämä koskee tietoturvatutkijoita, asiakkaita ja loppukäyttäjiä, CERT-ryhmiä (tietoturvaviranomaisia), toimialajärjestöjä, yhteistyökumppaneita sekä kaikkia muita sidosryhmiä.

Ennen kuin lähetät ilmoituksen, lue tämä käytäntö huolellisesti läpi ja varmista, että toimintasi on sen ohjeiden mukaista.

Haavoittuvuuden ilmoittaminen

Pyydämme ystävällisesti kaikkia, jotka uskovat löytäneensä mahdollisen tietoturva-aukon tuotteistamme tai niihin liittyvistä palveluista, ilmoittamaan siitä meille mahdollisimman pian asiakaspalvelumme kautta.

Kun lähetät ilmoituksen, noudata seuraavia ohjeita:

  • Anna yksityiskohtaisia tietoja mahdollisesta haavoittuvuudesta, mukaan lukien selkeä kuvaus ja ohjeet ongelman toistamiseksi. Liitteestä löydät mallin havainnon ilmoittamista varten.
  • Vältä kaikkia toimia, jotka voivat vaarantaa tuotteidemme, palveluidemme tai tietojemme luottamuksellisuuden, eheyden, saatavuuden tai turvallisuuden. Älä aiheuta merkittävää vahinkoa, muokkaa tietoja, käytä väärin oikeuksien laajentamista tai lataa enemmän tietoja kuin on tarpeen haavoittuvuuden osoittamiseksi.
  • Pidä havainnot salassa, kunnes olemme saaneet tutkimuksemme päätökseen ja toteuttaneet tarvittavat toimenpiteet. Tämä auttaa suojelemaan käyttäjiämme ja varmistaa turvallisuusongelmien vastuullisen käsittelyn.
  • Ilmoittakaa meille etukäteen, jos aiotte julkistaa haavoittuvuuden.
  • Ilmoita yhteystietosi, kuten sähköpostiosoite tai puhelinnumero, jotta voimme ottaa sinuun yhteyttä asian jatkokäsittelyä varten.

Sitoutumisemme

Saatuaan ilmoituksen tietoturva-aukosta Sonova sitoutuu toimimaan seuraavasti:

  • Vahvistamme ilmoituksesi vastaanottamisen ja ilmoitamme, että ilmoituksesi on vastaanotettu ja että sitä käsitellään parhaillaan.
  • Erikoistunut tietoturvatiimimme tutkii ilmoitetun haavoittuvuuden perusteellisesti. Saatamme ottaa sinuun yhteyttä lisätietojen tai selvennysten saamiseksi, jotta voimme varmistaa, että ymmärrämme haavoittuvuuden täysin.
  • Käsittelemme ilmoitettuja haavoittuvuuksia niiden vakavuuden ja monimutkaisuuden perusteella. Tiimimme on sitoutunut toteuttamaan tarvittavat toimenpiteet riskien ratkaisemiseksi ja lieventämiseksi nopeasti ja tehokkaasti.
  • Pidämme kanssanne avointa ja läpinäkyvää yhteyttä koko prosessin ajan. Pidämme teidät ajan tasalla asian selvittämisen ja ratkaisemisen edistymisestä ja annamme säännöllisesti tilannekatsauksia tärkeissä vaiheissa.

Poissulkemiset

Vaikka kannustamme ilmoittamaan havaituista tietoturva-aukkoista, on syytä huomata, että seuraavat toimet ovat ehdottomasti kiellettyjä:

  • Infrastruktuurimme kohdistuva invasiivinen tai häiritsevä automaattinen skannaus.
  • Pääsy, lataaminen, muokkaaminen tai muu puuttuminen sellaisten tilien tai järjestelmien tietoihin, joita et omista tai joiden käyttöön sinulla ei ole nimenomaista lupaa.
  • Toiminnot, joilla tarkoituksellisesti häiritään, heikennetään tai uhataan tuotteidemme sekä niihin liittyvien palveluiden tai järjestelmien toimintavarmuutta.
  • Tunnistetun haavoittuvuuden julkistaminen ennen kuin olemme korjanneet sen.
  • Harjoittaa minkäänlaista sosiaalista manipulaatiota, tietojenkalasteluyrityksiä tai petollisia käytäntöjä työntekijöitämme, käyttäjiämme tai infrastruktuuriamme kohtaan.
  • Sonovan omaisuutta kohtaan suunnattujen fyysisten turvallisuusuhkien toteuttaminen.

Tämän ohjelman soveltamisalan ulkopuolelle jäävät haavoittuvuudet

Tämä haavoittuvuuksien ilmoitusohjelma keskittyy Sonovan tuotteisiin, niiden taustalla olevaan infrastruktuuriin ja niihin liittyviin palveluihin liittyviin haavoittuvuuksiin. Näin ollen verkkosivustomme tai julkisen infrastruktuurimme haavoittuvuudet eivät tällä hetkellä kuulu tämän ohjelman piiriin.

Jotta resurssit voidaan kohdentaa tehokkaasti ja keskittyä vaikutuksiltaan merkittävien haavoittuvuuksien korjaamiseen, olemme määritelleet seuraavat luokat tämän haavoittuvuuksien ilmoitusohjelman soveltamisalan ulkopuolelle. Näiden ilmoittaminen ei välttämättä johda vahvistukseen tai korjaustoimiin:

  • Automaattisilla skannaus- tai analysointityökaluilla tuotetut aineistot.
  • Huomautukset heikoista SSL/TLS-salausalgoritmeista ja TLS-asetusten haavoittuvuuksista, ellei voida osoittaa, että kyseessä on nimenomaan meidän ympäristöömme kohdistuva todellinen, hyödynnettävissä oleva riski.
  • Suositeltujen turvatoimenpiteiden puuttuminen, haavoittuvuuksistaan tunnettujen kirjastojen käyttö tai yksityiskohtaiset virheilmoitukset, elleivät nämä sisällä selkeitä, todistettavissa olevia hyödyntämistapoja.

Oikeudellinen ilmoitus / Safe Harbour

Sonovalla arvostamme tietoturvatutkijoiden panosta ja tunnustamme heidän työnsä merkityksen tuotteidemme tietoturvan parantamisessa.

Jos noudatat haavoittuvuuksien ilmoittamista koskevan käytäntömme ohjeita, toimintasi katsotaan sallituksi, emmekä ryhdy oikeustoimiin sinua vastaan. Vaikka tuemme vastuullista tietoturvatutkimusta, huomaa, että tämän käytännön noudattaminen ei vapauta sinua sovellettavien paikallisten lakien noudattamisesta. Jos kolmas osapuoli ryhtyy oikeustoimiin, jotka liittyvät toimintaasi tämän politiikan puitteissa, ole tietoinen siitä, että vaikka pyrimme selventämään, miten olet noudattanut politiikkaamme, emme voi toimia oikeudellisena edustajanasi tai puuttua asiaan suoraan puolestasi.

Ota yhteyttä

Jos sinulla on kysyttävää tai haluat ilmoittaa tietoturva-aukkoista, ota yhteyttä asiakaspalveluumme osoitteeseen https://eu.sennheiser-hearing.com/pages/contact/.