Bevezetés

A Sonovánál elkötelezettek vagyunk termékeink és kapcsolódó szolgáltatásaink biztonságának és ellenálló képességének biztosítása mellett. Megértjük, hogy erőfeszítéseink ellenére sebezhetőségek fordulhatnak elő. Mindenkit arra bátorítunk, hogy jelentse a termékeinkkel vagy azok alapjául szolgáló szoftverével vagy infrastruktúrájával kapcsolatos gyanús sebezhetőségeket vagy biztonsági aggályokat. Ez magában foglalja a biztonsági kutatókat, ügyfeleket és végfelhasználókat, a CERT-eket (Computer Emergency Response Teams), iparági csoportokat, partnereket és minden más érdekelt felet.

A jelentés benyújtása előtt kérjük, olvassa el figyelmesen ezt az irányelvet, és győződjön meg arról, hogy cselekedetei összhangban vannak az irányelvben foglaltakkal.

Sebezhetőség jelentése

Kérjük, hogy aki úgy véli, potenciális biztonsági rést fedezett fel termékeinkben vagy kapcsolódó szolgáltatásainkban, a lehető leghamarabb jelentse azt ügyfélszolgálati szervezetünkön keresztül.

A jelentés benyújtásakor kérjük, kövesse az alábbi irányelveket:

  • Adjon részletes információkat a potenciális sebezhetőségről, beleértve egy világos leírást és a megállapítás reprodukálásának lépéseit. A megállapítások jelentésére szolgáló sablont a mellékletben találja.
  • Kerülje el minden olyan cselekményt, amely károsíthatja termékeink, szolgáltatásaink vagy adataink titkosságát, integritását, elérhetőségét vagy biztonságát. Kérjük, tartózkodjon minden olyan cselekménytől, amely anyagi kárt okozhat, adatokat módosíthat, jogosultságok visszaélésszerű kiterjesztését eredményezhet, vagy a sebezhetőség bizonyításához szükségesnél több adat letöltését eredményezheti.
  • Tartsa titokban megállapításait, amíg be nem fejeztük vizsgálatunkat és nem vezettük be a szükséges intézkedéseket. Ez segít megvédeni felhasználóinkat és biztosítja a biztonsági problémák felelősségteljes kezelését.
  • Kérjük, előre tájékoztasson minket arról, ha nyilvánosságra kívánja hozni a sebezhetőséget.
  • Kérjük, adja meg elérhetőségi adatait, például e-mail címét vagy telefonszámát, hogy további vizsgálat céljából kapcsolatba léphessünk Önnel.

Elkötelezettségünk

A biztonsági résről szóló bejelentés kézhezvételét követően a Sonova a következőket vállalja:

  • Jelentésed kézhezvételét visszaigazoljuk, megerősítve, hogy beadványod beérkezett és feldolgozás alatt áll.
  • Elkötelezett biztonsági csapatunk alapos vizsgálatot végez a bejelentett sebezhetőséggel kapcsolatban. Felvesszük Önnel a kapcsolatot további információkért vagy pontosításért, hogy biztosítsuk a sebezhetőség átfogó megértését.
  • A bejelentett sebezhetőségek megoldását súlyosságuk és komplexitásuk alapján rangsoroljuk. Csapatunk elkötelezett amellett, hogy megtegye a szükséges lépéseket a kockázatok gyors és hatékony kezelésére és enyhítésére.
  • A folyamat során nyitott és átlátható kommunikációt fogunk fenntartani Önnel. Rendszeresen tájékoztatjuk Önt a probléma kivizsgálásának és megoldásának előrehaladásáról, és a legfontosabb szakaszokban rendszeres frissítéseket küldünk Önnek.

Kizárások

Bár ösztönözzük a felfedezett biztonsági rések bejelentését, felhívjuk figyelmét, hogy a következő tevékenységek szigorúan tilosak:

  • Inváziós vagy zavaró automatizált szkennelés alkalmazása infrastruktúránk ellen.
  • Olyan fiókokban vagy rendszerekben található adatokhoz való hozzáférés, azok letöltése, módosítása vagy más módon történő befolyásolása, amelyek nem a felhasználó tulajdonát képezik, vagy amelyekhez a felhasználó nem rendelkezik kifejezett hozzáférési engedéllyel.
  • Olyan tevékenységek végzése, amelyek szándékosan megzavarják, rontják vagy veszélyeztetik termékeink és kapcsolódó szolgáltatásaink vagy rendszereink működési integritását.
  • A felfedezett sérülékenység nyilvános közzététele, mielőtt mi orvosolnánk.
  • Bármilyen formájú szociális mérnöki tevékenység, adathalász támadások vagy megtévesztő gyakorlatok alkalmazása alkalmazottaink, felhasználóink vagy infrastruktúránk ellen.
  • Fizikai biztonsági támadások végrehajtása a Sonova eszközei ellen.

A program hatókörén kívül eső sérülékenységek

Ez a sérülékenység-nyilvánosságra hozatali program a Sonova termékekkel, azok alapinfrastruktúrájával és kapcsolódó szolgáltatásaival kapcsolatos sérülékenységekre összpontosít. Mint ilyenek, weboldalunkon vagy nyilvánosan elérhető infrastruktúránkon található sérülékenységek jelenleg nem tartoznak e program hatókörébe.

Az erőforrások hatékony elosztása és a jelentős hatású sérülékenységek enyhítésére való összpontosítás érdekében a következő kategóriákat határozzuk meg a sérülékenység-nyilvánosságra hozatali program hatókörén kívülinek. Ezek bejelentése nem feltétlenül eredményez elismerést vagy orvoslási intézkedéseket:

  • Automatizált szkennelő eszközökkel vagy automatizált elemzéssel előállított beadványok.
  • Gyenge SSL/TLS kriptográfiai algoritmusokkal és TLS beállításokban lévő sérülékenységekkel kapcsolatos megfigyelések, kivéve, ha a környezetünkre specifikus, ténylegesen kihasználható kockázat bizonyítható.
  • Ajánlott biztonsági intézkedések hiánya, sebezhetőségekről ismert könyvtárak implementálása, vagy részletes hibaüzenetek, kivéve, ha ezek egyértelmű, bizonyítható kihasználási útvonalakat tartalmaznak.

Jogi nyilatkozat / Biztonságos kikötő

A Sonovánál nagyra értékeljük a biztonsági kutatók hozzájárulását, és elismerjük erőfeszítéseik fontosságát termékeink biztonságának növelésében.

Ha Ön betartja a sebezhetőségi nyilvánosságra hozatali irányelveinket, cselekedeteit engedélyezettnek tekintjük, és nem indítunk jogi eljárást Ön ellen. Bár támogatjuk a felelős biztonsági kutatást, kérjük, vegye figyelembe, hogy ezen irányelv betartása nem mentesíti Önt a vonatkozó helyi törvények betartása alól. Ha harmadik fél jogi eljárást indít az Ön ezen irányelv szerinti tevékenységeivel kapcsolatban, kérjük, vegye figyelembe, hogy bár célunk tisztázni az Ön irányelvünknek való megfelelésének jellegét, nem tudunk jogi képviseletet vagy közvetlen beavatkozást biztosítani az Ön nevében.

Kapcsolat

Biztonsági sebezhetőségekkel kapcsolatos kérdéseivel vagy bejelentéseivel kérjük, forduljon ügyfélszolgálatunkhoz https://eu.sennheiser-hearing.com/pages/contact/.