Bevezetés

A Sonova-nál elkötelezettek vagyunk termékeink és a kapcsolódó szolgáltatásaink biztonságának és ellenálló képességének biztosítása iránt. Tisztában vagyunk azzal, hogy erőfeszítéseink ellenére is előfordulhatnak biztonsági rések. Mindenkit arra bátorítunk, hogy jelentsen be minden olyan feltételezett biztonsági rést vagy aggályt, amely termékeinkkel, azok alapjául szolgáló szoftverekkel vagy infrastruktúrával kapcsolatos. Ez magában foglalja a biztonsági kutatókat, az ügyfeleket és a végfelhasználókat, a CERT-eket (számítógépes vészhelyzeti reagáló csoportokat), az iparági szervezeteket, a partnereket és minden más érdekelt felet.

A jelentés benyújtása előtt kérjük, figyelmesen olvassa el ezt az irányelvet, és győződjön meg arról, hogy cselekedetei összhangban vannak az abban foglalt irányelvekkel.

Biztonsági rés bejelentése

Kérjük mindazokat, akik úgy vélik, hogy potenciális biztonsági rést fedeztek fel termékeinkben vagy kapcsolódó szolgáltatásainkban, hogy azt a lehető leghamarabb jelezzék ügyfélszolgálatunknak.

Jelentés benyújtásakor kérjük, tartsa be az alábbi irányelveket:

  • Kérjük, adjon meg részletes információkat a feltételezett biztonsági résről, beleértve annak egyértelmű leírását és a hiba reprodukálásához szükséges lépéseket. A mellékletben talál egy sablont a hiba bejelentéséhez.
  • Kérjük, kerülje el minden olyan cselekményt, amely veszélyeztetheti termékeink, szolgáltatásaink vagy adataink bizalmas jellegét, integritását, rendelkezésre állását vagy biztonságát. Kérjük, ne okozzon anyagi kárt, ne módosítson adatokat, ne éljen vissza a jogosultságok kiterjesztésével, és ne töltsön le több adatot, mint amennyi a sebezhetőség bemutatásához szükséges.
  • Kérjük, tartsa titokban a megállapításait mindaddig, amíg le nem zárjuk a vizsgálatot és meg nem hoztuk a szükséges intézkedéseket. Ez hozzájárul felhasználóink védelméhez és biztosítja a biztonsági problémák felelősségteljes kezelését.
  • Kérjük, előre tájékoztasson minket arról, hogy nyilvánosságra kívánja-e hozni a biztonsági rést.
  • Kérjük, adja meg elérhetőségi adatait, például e-mail-címét vagy telefonszámát, hogy a további vizsgálat érdekében felvehessük Önnel a kapcsolatot.

Elkötelezettségünk

Biztonsági sebezhetőségről szóló bejelentés kézhezvételét követően a Sonova a következőket vállalja:

  • Visszaigazoljuk a bejelentés kézhezvételét, és megerősítjük, hogy bejelentését megkaptuk, és jelenleg feldolgozás alatt áll.
  • Elkötelezett biztonsági csapatunk alapos vizsgálatot fog lefolytatni a bejelentett biztonsági résről. Lehet, hogy felvesszük Önnel a kapcsolatot további információk vagy pontosítások érdekében, hogy teljes körűen megértsük a biztonsági rést.
  • A bejelentett biztonsági réseket súlyosságuk és összetettségük alapján rangsoroljuk. Csapatunk elkötelezett amellett, hogy megtegye a szükséges lépéseket a kockázatok gyors és hatékony kezelése és csökkentése érdekében.
  • A folyamat során végig nyílt és átlátható kommunikációt fogunk fenntartani Önnel. Folyamatosan tájékoztatjuk Önt a probléma kivizsgálásának és megoldásának előrehaladásáról, és a legfontosabb szakaszokban rendszeresen friss információkat küldünk Önnek.

Kivételek

Bár ösztönözzük a felfedezett biztonsági résekről való bejelentést, kérjük, vegye figyelembe, hogy a következő cselekmények szigorúan tilosak:

  • Az infrastruktúránk ellen irányuló, behatoló vagy zavaró automatizált szkennelés alkalmazása.
  • Olyan fiókokban vagy rendszerekben található adatokhoz való hozzáférés, azok letöltése, módosítása vagy bármilyen más módon történő beavatkozás, amelyek nem a felhasználó tulajdonát képezik, vagy amelyekkel kapcsolatban nincs kifejezett engedélye.
  • Olyan tevékenységek végzése, amelyek szándékosan megzavarják, rontják vagy veszélyeztetik termékeink, valamint a kapcsolódó szolgáltatások és rendszerek működési integritását.
  • Az azonosított biztonsági rés nyilvánosságra hozatala a megoldásunk előtt.
  • Bármilyen formájú társadalmi manipuláció, adathalász támadás vagy megtévesztő gyakorlat alkalmazása munkatársaink, felhasználóink vagy infrastruktúránk ellen.
  • Fizikai biztonsági támadások végrehajtása a Sonova eszközei ellen.

A program hatálya alá nem tartozó sebezhetőségek

Ez a biztonsági rés-bejelentési program a Sonova termékeivel, azok alapját képező infrastruktúrával és a kapcsolódó szolgáltatásokkal kapcsolatos biztonsági résekre összpontosít. Ennek megfelelően a weboldalunkon vagy a nyilvánosan elérhető infrastruktúránkon található biztonsági rések jelenleg nem tartoznak a program hatálya alá.

Az erőforrások hatékony elosztása és a jelentős hatással járó sebezhetőségek orvoslására való összpontosítás érdekében a következő kategóriákat határozzuk meg e sebezhetőség-bejelentési program hatályán kívül esőként. Ezek bejelentése nem feltétlenül eredményez visszaigazolást vagy javító intézkedéseket:

  • Automatizált szkennelő eszközökkel vagy automatizált elemzéssel készült beadványok.
  • A gyenge SSL/TLS kriptográfiai algoritmusokra és a TLS-konfigurációk sebezhetőségeire vonatkozó észrevételek, kivéve, ha bizonyítható, hogy a mi környezetünkre jellemző, tényleges, kihasználható kockázat áll fenn.
  • Az ajánlott biztonsági intézkedések hiánya, sebezhetőségükről ismert könyvtárak használata, illetve a részletes hibaüzenetek – kivéve, ha ezek egyértelmű, bizonyítható kihasználási módszereket tartalmaznak.

Jogi nyilatkozat / Safe Harbour

A Sonovánál nagyra értékeljük a biztonsági kutatók hozzájárulását, és elismerjük, hogy munkájuk milyen fontos szerepet játszik termékeink biztonságának javításában.

Amennyiben betartja a sebezhetőségek közzétételére vonatkozó irányelveinket, tevékenységét engedélyezettnek tekintjük, és nem indítunk Ön ellen jogi eljárást. Bár támogatjuk a felelősségteljes biztonsági kutatást, kérjük, vegye figyelembe, hogy ezen irányelv betartása nem mentesíti Önt az alkalmazandó helyi jogszabályok betartása alól. Ha harmadik fél jogi eljárást indít az Önnek e politika keretében végzett tevékenységeivel kapcsolatban, kérjük, vegye figyelembe, hogy bár célunk tisztázni az irányelvünknek való megfelelésének jellegét, nem vállalhatunk jogi képviseletet, és nem avatkozhatunk be közvetlenül az Ön nevében.

Kapcsolat

A biztonsági réseket érintő kérdésekkel vagy bejelentésekkel kapcsolatban kérjük, forduljon ügyfélszolgálatunkhoz a https://eu.sennheiser-hearing.com/pages/contact/ e-mail címen.