Politica coordinata sulla divulgazione delle vulnerabilità

Introduzione

Noi di Sonova ci impegniamo a garantire la sicurezza e la resilienza dei nostri prodotti e dei servizi correlati. Sappiamo che, nonostante i nostri sforzi, possono esserci delle vulnerabilità. Tutti sono invitati a segnalare eventuali vulnerabilità sospette o problemi di sicurezza relativi ai nostri prodotti o al software o all'infrastruttura sottostante. Questo include ricercatori nel campo della sicurezza, clienti e consumatori finali, CERT (Computer Emergency Response Team), gruppi industriali, partner e tutti gli altri soggetti interessati.

Prima di mandare una segnalazione, dai un'occhiata a questa politica e assicurati che quello che fai sia in linea con le sue regole.

Segnalare una vulnerabilità

Chiediamo a chiunque pensi di aver trovato un potenziale problema di sicurezza nei nostri prodotti o servizi di segnalarcelo al più presto tramite il nostro servizio clienti.

Quando mandi una segnalazione, segui queste indicazioni:

• Fornisci informazioni dettagliate sulla potenziale vulnerabilità, compresa una descrizione chiara e i passaggi necessari per riprodurre il risultato. Nell'allegato trovi un modello per segnalare il risultato.
• Evita qualsiasi cosa che possa mettere a rischio la riservatezza, l'integrità, la disponibilità o la sicurezza dei nostri prodotti, servizi o dati. Per favore, non causare danni materiali, non modificare i dati, non abusare dell'escalation dei privilegi e non scaricare più dati di quelli che servono per mostrare la vulnerabilità.
• Tieni per te quello che hai scoperto finché non avremo finito di controllare e fatto quello che serve. Questo ci aiuta a proteggere i nostri utenti e a gestire le questioni di sicurezza in modo responsabile.
• Per favore, facci sapere in anticipo se hai intenzione di rendere pubblica la vulnerabilità.
• Per favore, lasciaci i tuoi contatti, tipo un indirizzo email o un numero di telefono, così possiamo ricontattarti per saperne di più.

Il nostro impegno

Quando riceve una segnalazione su un problema di sicurezza, Sonova si impegna a fare questo:

• Ti faremo sapere che abbiamo ricevuto la tua segnalazione, confermando che è stata presa in carico e che la stiamo esaminando.
• Il nostro team di sicurezza si occuperà di dare un'occhiata alla vulnerabilità che ci hai segnalato. Potremmo contattarti per avere qualche dettaglio in più o chiarire qualcosa, così da capire bene di cosa si tratta.
• Diamo la priorità alla risoluzione delle vulnerabilità segnalate in base alla loro gravità e complessità. Il nostro team si impegna a fare tutto il necessario per affrontare e ridurre i rischi in modo veloce ed efficace.
• Comunicheremo con te in modo aperto e trasparente durante tutto il processo. Ti terremo aggiornato su come va l'indagine e la risoluzione del problema, con aggiornamenti regolari nelle fasi più importanti.

Esenzioni

Anche se incoraggiamo la segnalazione di eventuali vulnerabilità di sicurezza riscontrate, ti ricordiamo che le seguenti azioni sono severamente vietate:

• Usare scansioni automatiche invasive o che disturbano la nostra infrastruttura.
• Accedere, scaricare, modificare o fare qualsiasi altra cosa con i dati di account o sistemi che non ti appartengono o per cui non hai il permesso di usare.
• Fare cose che potrebbero danneggiare, rallentare o mettere a rischio il buon funzionamento dei nostri prodotti e dei servizi o sistemi collegati.
• Rendere pubblica una vulnerabilità individuata prima che la risolviamo.
• Fare qualsiasi tipo di ingegneria sociale, attacchi di phishing o trucchi contro i nostri dipendenti, utenti o infrastrutture.
• Fare attacchi alla sicurezza fisica delle cose di Sonova.

Vulnerabilità che non rientrano in questo programma

Questo programma di segnalazione delle vulnerabilità riguarda le vulnerabilità dei prodotti Sonova, la loro infrastruttura e i servizi correlati. Quindi, le vulnerabilità del nostro sito web o dell'infrastruttura accessibile al pubblico al momento non rientrano in questo programma.

Per usare al meglio le risorse e concentrarsi sulle vulnerabilità che possono fare davvero la differenza, abbiamo deciso di non includere queste categorie nel nostro programma di divulgazione delle vulnerabilità. Segnalarle potrebbe non portare a un riconoscimento o a un intervento per risolvere il problema:

• Documenti che vengono da strumenti di scansione automatica o analisi automatica.
• Osservazioni su algoritmi crittografici SSL/TLS deboli e vulnerabilità nelle configurazioni TLS, a meno che non si possa dimostrare un rischio reale e sfruttabile specifico per il nostro ambiente.
• Mancanza delle misure di sicurezza consigliate, uso di librerie che hanno problemi di sicurezza o messaggi di errore troppo dettagliati, a meno che questi non mostrino chiaramente come si può sfruttare la vulnerabilità.

Informativa legale / Safe Harbour

Noi di Sonova apprezziamo il lavoro dei ricercatori nel campo della sicurezza e sappiamo quanto sia importante quello che fanno per migliorare la sicurezza dei nostri prodotti.

Se segui le linee guida della nostra politica di divulgazione delle vulnerabilità, quello che fai sarà considerato autorizzato e non ti faremo causa. Anche se sosteniamo la ricerca responsabile sulla sicurezza, tieni presente che seguire questa politica non ti esenta dal rispettare le leggi locali. Se una terza parte avvia un'azione legale in relazione alle tue attività nell'ambito di questa politica, tieni presente che, anche se cerchiamo di chiarire la natura della tua conformità alla nostra politica, non possiamo rappresentarti legalmente o intervenire direttamente per tuo conto.

Contattaci

Per qualsiasi domanda o segnalazione su problemi di sicurezza, contatta il nostro servizio clienti all'indirizzo https://eu.sennheiser-hearing.com/pages/contact/.