Bevezetés

A Sonovánál elkötelezettek vagyunk termékeink és a kapcsolódó szolgáltatásaink biztonsága és rugalmassága iránt. Tudjuk, hogy erőfeszítéseink ellenére sebezhetőségek előfordulhatnak. Mindenkit arra ösztönzünk, hogy jelentse a termékeinkkel, az azok alapjául szolgáló szoftverekkel vagy infrastruktúrával kapcsolatos feltételezett sebezhetőségeket vagy biztonsági aggályokat. Ez magában foglalja a biztonsági kutatókat, ügyfeleket és végfelhasználókat, CERT-eket (számítógépes vészhelyzet-elhárító csoportokat), iparági csoportokat, partnereket és minden más érdekelt felet.

Mielőtt jelentést küldesz, kérjük, olvasd el figyelmesen ezt a szabályzatot, és győződj meg arról, hogy cselekedeteid összhangban vannak az iránymutatásaival.

Sebezhetőség jelentése

Kérjük, hogy mindenki, aki úgy véli, hogy potenciális biztonsági sebezhetőséget fedezett fel termékeinkben vagy a kapcsolódó szolgáltatásokban, jelentse azt nekünk a lehető leghamarabb ügyfélszolgálati szervezetünkön keresztül.

Jelentés benyújtásakor kérjük, kövesd az alábbi irányelveket:

  • Adj részletes információt a potenciális sebezhetőségről, beleértve a világos leírást és a lelet reprodukálásához szükséges lépéseket. A Mellékletben találsz egy sablont a lelet jelentéséhez.
  • Kerülj minden olyan cselekedetet, amely veszélyeztetheti termékeink és szolgáltatásaink vagy adataink bizalmas kezelését, integritását, elérhetőségét vagy biztonságát. Kérjük, ne okozz semmilyen anyagi kárt, ne változtass meg adatokat, ne élj vissza a jogosultságnöveléssel, és ne tölts le több adatot, mint amennyi a sebezhetőség bemutatásához szükséges.
  • Őrizd meg leleteid bizalmas kezelését mindaddig, amíg be nem fejeztük vizsgálatunkat és végre nem hajtottuk a szükséges intézkedéseket. Ez segít megvédeni felhasználóinkat, és biztosítja a biztonsági problémák felelős kezelését.
  • Kérjük, tájékoztass minket előre arról a szándékodról, hogy nyilvánosan közzéteszed a sebezhetőséget.
  • Kérjük, add meg elérhetőségi adataidat, például e-mail címedet vagy telefonszámodat, hogy további vizsgálat céljából kapcsolatba léphessünk veled.

Elkötelezettségünk

Biztonsági sebezhetőség jelentésének beérkezésekor a Sonova az alábbiakra kötelezi el magát:

  • Visszaigazoljuk jelentésed beérkezését, megerősítve, hogy beküldésed megérkezett, és feldolgozás alatt áll.
  • Erre specializálódott biztonsági csapatunk alapos vizsgálatot végez a jelentett sebezhetőségről. Elképzelhető, hogy kapcsolatba lépünk veled további információkért vagy tisztázásért, hogy átfogóan megérthessük a sebezhetőséget.
  • A jelentett sebezhetőségek feloldását azok súlyossága és összetettsége alapján priorizáljuk. Csapatunk elkötelezett amellett, hogy a szükséges lépéseket megtegye a kockázatok gyors és hatékony kezeléséhez és mérsékléshez.
  • A folyamat során nyílt és átlátható kommunikációt tartunk veled. Folyamatosan tájékoztatunk a probléma kivizsgálásában és megoldásában elért haladásunkról, rendszeres frissítésekkel a kulcsfontosságú szakaszokban.

Kivételek

Bár bátorítunk minden biztonsági sebezhetőség jelentésére, kérjük, vedd figyelembe, hogy a következő tevékenységek szigorúan tiltottak:

  • Tolakodó vagy zavaró automatizált vizsgálatok futtatása az infrastruktúránk ellen.
  • Olyan fiókok vagy rendszerek adataihoz való hozzáférés, letöltés, módosítás vagy egyéb módon történő beavatkozás, amelyek nem a tieid, vagy amelyekhez nincs kifejezett engedélyed.
  • Olyan tevékenységek végzése, amelyek szándékosan zavarják, rontják vagy veszélyeztetik termékeink és kapcsolódó szolgáltatásaink vagy rendszereink működési integritását.
  • Az azonosított sebezhetőség nyilvános közzététele a megoldásunk előtt.
  • Bármilyen szociális manipuláció, adathalász támadás vagy megtévesztő gyakorlat alkalmazása munkatársaink, felhasználóink vagy infrastruktúránk ellen.
  • Fizikai biztonsági támadások végrehajtása a Sonova eszközei ellen.

A program hatókörén kívüli sebezhetőségek

Ez a sebezhetőség-közzétételi program a Sonova termékeihez, azok mögöttes infrastruktúrájához és kapcsolódó szolgáltatásaihoz kapcsolódó sebezhetőségekre összpontosít. Ennek megfelelően a weboldalunkon vagy nyilvánosan elérhető infrastruktúránkon lévő sebezhetőségek jelenleg nem tartoznak a program hatókörébe.

Az erőforrások hatékony elosztásának és a jelentős hatású sebezhetőségek mérséklésére való összpontosításnak lehetővé tétele érdekében az alábbi kategóriákat határozzuk meg a sebezhetőség-közzétételi program hatókörén kívül esőként. Ezek jelentése nem feltétlenül jár visszajelzéssel vagy javítási intézkedésekkel:

  • Automatizált vizsgálóeszközökből vagy automatizált elemzésből származó bejelentések.
  • Gyenge SSL/TLS titkosítási algoritmusokkal és TLS-beállítások sebezhetőségeivel kapcsolatos megfigyelések, kivéve, ha konkrét, kihasználható kockázat igazolható a mi környezetünkre vonatkozóan.
  • Ajánlott biztonsági intézkedések hiánya, ismerten sebezhető könyvtárak alkalmazása vagy részletes hibaüzenetek, kivéve, ha ezek világos, igazolható kihasználási útvonalakat tartalmaznak.

Jogi nyilatkozat / Biztonságos kikötő

A Sonovánál értékeljük a biztonsági kutatók hozzájárulását, és elismerjük erőfeszítéseik fontosságát termékeink biztonságának növelésében.

Ha betartod sebezhetőség-közzétételi szabályzatunk iránymutatásait, tevékenységed engedélyezettnek minősül, és nem indítunk ellened jogi eljárást. Bár támogatjuk a felelős biztonsági kutatást, vedd figyelembe, hogy a szabályzat betartása nem mentesít a vonatkozó helyi jogszabályok betartása alól. Ha harmadik fél jogi eljárást indít a szabályzat szerinti tevékenységeddel kapcsolatban, kérjük, vedd tudomásul, hogy bár törekszünk tisztázni szabályzatunknak való megfelelésedet, nem vállalunk jogi képviseletet vagy közvetlen beavatkozást a nevedben.

Kapcsolat

Biztonsági sebezhetőségekkel kapcsolatos kérdésekkel vagy bejelentésekkel kapcsolatban kérjük, vedd fel a kapcsolatot ügyfélszolgálatunkkal https://eu.sennheiser-hearing.com/pages/contact/.