Bevezetés
A Sonova elkötelezett termékeinek és kapcsolódó szolgáltatásainak biztonsága és ellenálló képessége iránt. Tisztában vagyunk azzal, hogy erőfeszítéseink ellenére is előfordulhatnak sebezhetőségek. Mindenkit arra bátorítunk, hogy jelentsen be gyanús sebezhetőségeket vagy biztonsági aggályokat termékeinkkel, azok alapjául szolgáló szoftverekkel vagy infrastruktúrával kapcsolatban. Ez magában foglalja a biztonsági kutatókat, az ügyfeleket és a végfelhasználókat, a CERT-eket (számítógépes vészhelyzeteket kezelő csoportokat), az iparági csoportokat, a partnereket és minden más érdekelt felet.
A jelentés benyújtása előtt kérjük, olvassa el figyelmesen ezt az irányelvet, és győződjön meg arról, hogy cselekedetei összhangban vannak az irányelvben foglaltakkal.
Sebezhetőség jelentése
Kérjük, hogy aki úgy véli, hogy potenciális biztonsági rést fedezett fel termékeinkben vagy kapcsolódó szolgáltatásainkban, azt minél hamarabb jelentsék be ügyfélszolgálatunknak.
A jelentés benyújtásakor kérjük, kövesse az alábbi irányelveket:
- Adjon részletes információkat a potenciális sebezhetőségről, beleértve egy világos leírást és a megállapítás reprodukálásának lépéseit. A megállapítások jelentésére szolgáló sablont a mellékletben találja.
- Kerülje el minden olyan cselekményt, amely károsíthatja termékeink, szolgáltatásaink vagy adataink titkosságát, integritását, elérhetőségét vagy biztonságát. Kérjük, tartózkodjon minden olyan cselekménytől, amely anyagi kárt okozhat, adatokat módosíthat, jogosultságok visszaélésszerű kiterjesztését eredményezhet, vagy a sebezhetőség bizonyításához szükségesnél több adat letöltését eredményezheti.
- Tartsa titokban a megállapításait, amíg be nem fejezzük a vizsgálatot és meg nem hoztuk a szükséges intézkedéseket. Ez segít megvédeni a felhasználóinkat és biztosítja a biztonsági problémák felelősségteljes kezelését.
- Kérjük, előre tájékoztasson minket arról, ha nyilvánosságra kívánja hozni a sebezhetőséget.
- Kérjük, adja meg elérhetőségi adatait, például e-mail címét vagy telefonszámát, hogy további vizsgálat céljából kapcsolatba léphessünk Önnel.
Elkötelezettségünk
A biztonsági résről szóló bejelentés kézhezvételét követően a Sonova a következőket vállalja:
- Jelentésed kézhezvételét visszaigazoljuk, megerősítve, hogy beadványod beérkezett és feldolgozás alatt áll.
- Elkötelezett biztonsági csapatunk alapos vizsgálatot fog végezni a bejelentett sebezhetőségről. Lehet, hogy további információkért vagy pontosításért felvesszük Önnel a kapcsolatot, hogy teljes körűen megértsük a sebezhetőséget.
- A bejelentett sebezhetőségek megoldását azok súlyossága és összetettsége alapján rangsoroljuk. Csapatunk elkötelezett amellett, hogy megtegye a szükséges lépéseket a kockázatok gyors és hatékony kezelése és csökkentése érdekében.
- A folyamat során nyitott és átlátható kommunikációt fogunk fenntartani Önnel. Rendszeresen tájékoztatjuk Önt a probléma kivizsgálásának és megoldásának előrehaladásáról, és a legfontosabb szakaszokban rendszeres frissítéseket küldünk Önnek.
Kizárások
Bár ösztönözzük a biztonsági réseket jelenteni, kérjük, vegye figyelembe, hogy a következő cselekmények szigorúan tilosak:
- Inváziós vagy zavaró automatizált szkennelés alkalmazása infrastruktúránk ellen.
- Olyan fiókokban vagy rendszerekben található adatokhoz való hozzáférés, azok letöltése, módosítása vagy más módon történő befolyásolása, amelyek nem a felhasználó tulajdonát képezik, vagy amelyekhez a felhasználó nem rendelkezik kifejezett hozzáférési engedéllyel.
- Olyan tevékenységek végzése, amelyek szándékosan megzavarják, rontják vagy veszélyeztetik termékeink és kapcsolódó szolgáltatásaink vagy rendszereink működési integritását.
- A feltárt sebezhetőség nyilvánosságra hozatala a megoldásunk előtt.
- Bármilyen formájú társadalmi manipuláció, adathalász támadás vagy megtévesztő gyakorlat alkalmazása alkalmazottaink, felhasználóink vagy infrastruktúránk ellen.
- Fizikai biztonsági támadások végrehajtása a Sonova eszközei ellen.
A program hatályán kívül eső sebezhetőségek
Ez a sebezhetőségi közzétételi program a Sonova termékekkel, azok alapjául szolgáló infrastruktúrával és a kapcsolódó szolgáltatásokkal kapcsolatos sebezhetőségekre összpontosít. Ezért weboldalunkon vagy nyilvánosan elérhető infrastruktúránkon található sebezhetőségek jelenleg nem tartoznak a program hatálya alá.
Az erőforrások hatékony elosztása és a jelentős hatással járó sebezhetőségek enyhítésére való összpontosítás érdekében a következő kategóriákat határozzuk meg a sebezhetőségek közzétételi program hatályán kívül esőként. Ezek bejelentése nem feltétlenül eredményez elismerést vagy javító intézkedéseket:
- Automatizált szkennelő eszközökkel vagy automatizált elemzéssel előállított beadványok.
- A gyenge SSL/TLS kriptográfiai algoritmusokkal és a TLS beállítások sebezhetőségeivel kapcsolatos észrevételek, kivéve, ha a környezetünkre jellemző, tényleges, kihasználható kockázatot lehet bizonyítani.
- Az ajánlott biztonsági intézkedések hiánya, a sebezhetőségéről ismert könyvtárak használata vagy részletes hibaüzenetek, kivéve, ha ezek egyértelmű, bizonyítható kihasználási lehetőségeket tartalmaznak.
Jogi nyilatkozat / Biztonságos kikötő
A Sonova nagyra értékeli a biztonsági kutatók hozzájárulását, és elismeri erőfeszítéseik fontosságát termékeink biztonságának javításában.
Ha betartja a sebezhetőségi közzétételi irányelveinket, cselekedeteit engedélyezettnek tekintjük, és nem indítunk Ön ellen jogi eljárást. Noha támogatjuk a felelősségteljes biztonsági kutatást, kérjük, vegye figyelembe, hogy az irányelv betartása nem mentesíti Önt a vonatkozó helyi törvények betartása alól. Ha harmadik fél jogi eljárást indít az Önnek a jelen irányelv szerinti tevékenységeivel kapcsolatban, kérjük, vegye figyelembe, hogy bár célunk az irányelvünknek való megfelelés jellegének tisztázása, nem tudunk jogi képviseletet vállalni vagy közvetlenül beavatkozni az Ön nevében.
Kapcsolat
A biztonsági réseket érintő kérdésekkel vagy bejelentésekkel kapcsolatban kérjük, vegye fel a kapcsolatot ügyfélszolgálatunkkal: https://eu.sennheiser-hearing.com/pages/contact/.