Koordinoitu haavoittuvuuksien julkistamispolitiikka

Johdanto

Sonovalla olemme sitoutuneet varmistamaan tuotteidemme ja niihin liittyvien palveluidemme turvallisuuden ja kestävyyden. Ymmärrämme, että ponnisteluistamme huolimatta haavoittuvuuksia voi esiintyä. Kannustamme kaikkia ilmoittamaan epäillyistä haavoittuvuuksista tai turvallisuusongelmista, jotka liittyvät tuotteisiimme tai niiden taustalla olevaan ohjelmistoon tai infrastruktuuriin. Tähän kuuluvat turvallisuustutkijat, asiakkaat ja loppukäyttäjät, CERT-tiimit (Computer Emergency Response Teams), toimialajärjestöt, kumppanit ja kaikki muut sidosryhmät.

Ennen raportin lähettämistä lue tämä käytäntö huolellisesti ja varmista, että toimintasi on sen ohjeiden mukaista.

Haavoittuvuuden ilmoittaminen

Pyydämme kaikkia, jotka uskovat löytäneensä mahdollisen tietoturva-aukon tuotteissamme tai niihin liittyvissä palveluissa, ilmoittamaan siitä meille mahdollisimman pian asiakaspalvelumme kautta.

Kun lähetät raportin, noudata seuraavia ohjeita:

• Anna yksityiskohtaiset tiedot mahdollisesta haavoittuvuudesta, mukaan lukien selkeä kuvaus ja ohjeet havainnon toistamiseksi. Liitteessä on malli havainnon ilmoittamista varten.
• Vältä toimia, jotka voivat vahingoittaa tuotteidemme ja palveluidemme tai tietojemme luottamuksellisuutta, eheyttä, saatavuutta tai turvallisuutta. Älä aiheuta aineellista vahinkoa, muuta tietoja, väärinkäytä oikeuksien laajennusta tai lataa enemmän tietoja kuin on tarpeen haavoittuvuuden osoittamiseksi.
• Säilytä löydösten luottamuksellisuus, kunnes olemme saaneet tutkimuksemme päätökseen ja toteuttaneet tarvittavat toimenpiteet. Tämä auttaa suojelemaan käyttäjiämme ja varmistaa turvallisuusongelmien vastuullisen käsittelyn.
• Ilmoita meille etukäteen aikomuksestasi julkistaa haavoittuvuus.
• Anna yhteystietosi, kuten sähköpostiosoite tai puhelinnumero, jotta voimme ottaa sinuun yhteyttä lisätutkimuksia varten.

Sitoutumisemme

Saatuaan ilmoituksen tietoturva-aukosta Sonova sitoutuu seuraaviin toimenpiteisiin:

• Vahvistamme ilmoituksesi vastaanottamisen ja ilmoitamme, että ilmoituksesi on vastaanotettu ja käsitellään parhaillaan.
• Erityinen tietoturvatiimimme tutkii ilmoitetun haavoittuvuuden perusteellisesti. Saatamme ottaa sinuun yhteyttä saadaksemme lisätietoja tai selvennyksiä, jotta voimme varmistaa, että ymmärrämme haavoittuvuuden kattavasti.
• Priorisoimme ilmoitettujen haavoittuvuuksien korjaamisen niiden vakavuuden ja monimutkaisuuden perusteella. Tiimimme on sitoutunut toteuttamaan tarvittavat toimenpiteet riskien nopeaksi ja tehokkaaksi hallitsemiseksi ja vähentämiseksi.
• Pidämme sinuun avointa ja läpinäkyvää yhteyttä koko prosessin ajan. Sinulle tiedotetaan ongelman tutkimisen ja ratkaisemisen edistymisestä, ja saat säännöllisesti päivityksiä tärkeimmistä vaiheista.

Poissulkemiset

Vaikka kannustamme ilmoittamaan kaikista havaituista tietoturva-aukkoista, huomaa, että seuraavat toimet ovat ehdottomasti kiellettyjä:

• Invasiivisen tai häiritsevän automaattisen skannauksen käyttö infrastruktuuriamme vastaan.
• Pääsy, lataaminen, muokkaaminen tai muu puuttuminen sellaisten tilien tai järjestelmien tietoihin, joita et omista tai joihin sinulla ei ole nimenomaista lupaa.
• Toimien, jotka tarkoituksellisesti häiritsevät, heikentävät tai uhkaavat tuotteidemme ja niihin liittyvien palvelujen tai järjestelmien toiminnallista eheyttä.
• Tunnistettujen haavoittuvuuksien julkistaminen ennen niiden korjaamista.
• Minkä tahansa sosiaalisen manipuloinnin, tietojenkalasteluyritysten tai petollisten käytäntöjen harjoittaminen työntekijöitämme, käyttäjiämme tai infrastruktuuriamme kohtaan.
• Sonovan omaisuuteen kohdistuvat fyysiset turvallisuusuhkat.

Tämän ohjelman soveltamisalan ulkopuolella olevat haavoittuvuudet

Tämä haavoittuvuuksien ilmoitusohjelma keskittyy Sonovan tuotteisiin, niiden taustalla olevaan infrastruktuuriin ja niihin liittyviin palveluihin liittyviin haavoittuvuuksiin. Siten verkkosivustomme tai julkisen infrastruktuurin haavoittuvuudet eivät tällä hetkellä kuulu tämän ohjelman piiriin.

Jotta resurssit voidaan jakaa tehokkaasti ja keskittyä merkittävien haavoittuvuuksien lieventämiseen, määritämme seuraavat kategoriat tämän haavoittuvuuksien ilmoitusohjelman ulkopuolelle kuuluviksi. Näiden ilmoittaminen ei välttämättä johda tunnustamiseen tai korjaaviin toimenpiteisiin:

• Automaattisilla skannausvälineillä tai automaattisella analyysillä tuotetut lähetykset.
• Havainnot heikoista SSL/TLS-salausalgoritmeista ja TLS-asetusten haavoittuvuuksista, ellei voida osoittaa, että kyseessä on todellinen, hyödyntämiskelpoinen riski, joka on ominainen juuri meidän ympäristöömme.
• Suositeltujen turvatoimenpiteiden puuttuminen, haavoittuvuuksista tunnettujen kirjastojen käyttö tai yksityiskohtaiset virheilmoitukset, elleivät ne sisällä selkeitä, todistettavissa olevia keinoja hyödyntää haavoittuvuuksia.

Oikeudellinen ilmoitus / Safe Harbour

Sonovassa arvostamme tietoturvatutkijoiden panosta ja tunnustamme heidän työstään tuotteidemme tietoturvan parantamisessa.

Jos noudatat haavoittuvuuksien paljastamista koskevan käytäntömme ohjeita, toimet katsotaan luvallisiksi, emmekä ryhdy oikeustoimiin sinua vastaan. Vaikka tuemme vastuullista tietoturvatutkimusta, huomaa, että tämän käytännön noudattaminen ei vapauta sinua noudattamasta sovellettavia paikallisia lakeja. Jos kolmas osapuoli ryhtyy oikeustoimiin tämän politiikan mukaisista toimistasi, huomaa, että vaikka pyrimme selvittämään politiikkamme noudattamisen luonteen, emme voi edustaa sinua oikeudessa tai puuttua asiaan suoraan puolestasi.

Ota yhteyttä

Jos sinulla on kysyttävää tai haluat ilmoittaa tietoturva-aukkoista, ota yhteyttä asiakaspalveluumme osoitteessa https://eu.sennheiser-hearing.com/pages/contact/.