Politica coordinata di divulgazione delle vulnerabilità

Introduzione

Noi di Sonova ci impegniamo a garantire la sicurezza e la resilienza dei nostri prodotti e dei servizi correlati. Siamo consapevoli che, nonostante i nostri sforzi, possano verificarsi delle vulnerabilità. Invitiamo chiunque a segnalare eventuali vulnerabilità sospette o problemi di sicurezza relativi ai nostri prodotti, al software sottostante o all'infrastruttura. Ciò include ricercatori nel campo della sicurezza, clienti e consumatori finali, CERT (Computer Emergency Response Teams), gruppi di settore, partner e tutte le altre parti interessate.

Prima di inviare una segnalazione, ti preghiamo di leggere attentamente questa politica e di assicurarti che le tue azioni siano in linea con le sue linee guida.

Segnalare una vulnerabilità

Chiediamo gentilmente a chiunque ritenga di aver individuato una potenziale vulnerabilità di sicurezza nei nostri prodotti o nei servizi correlati di segnalarcela al più presto tramite il nostro servizio clienti.

Quando invii una segnalazione, ti preghiamo di seguire queste linee guida:

• Fornisci informazioni dettagliate sulla potenziale vulnerabilità, inclusa una descrizione chiara e i passaggi per riprodurre il problema. Nell'allegato trovi un modello per segnalare il problema.
• Evita qualsiasi azione che possa compromettere la riservatezza, l'integrità, la disponibilità o la sicurezza dei nostri prodotti, servizi o dati. Ti preghiamo di astenerti dal causare danni materiali, alterare i dati, abusare dell'escalation dei privilegi o scaricare più dati di quelli necessari per dimostrare la vulnerabilità.
• Mantieni la riservatezza dei risultati delle tue indagini fino a quando non avremo completato la nostra indagine e adottato le misure necessarie. Questo contribuisce a proteggere i nostri utenti e garantisce una gestione responsabile delle questioni relative alla sicurezza.
• Ti preghiamo di comunicarci in anticipo la tua intenzione di rendere pubblica la vulnerabilità.
• Ti preghiamo di fornirci i tuoi dati di contatto, come un indirizzo e-mail o un numero di telefono, in modo da poterti ricontattare per approfondire la questione.

Il nostro impegno

Quando riceve una segnalazione relativa a una vulnerabilità di sicurezza, Sonova si impegna a:

• Ti invieremo una conferma di ricezione della tua segnalazione, per confermare che la tua richiesta è stata ricevuta ed è in fase di elaborazione.
• Il nostro team di sicurezza dedicato condurrà un'indagine approfondita sulla vulnerabilità segnalata. Potremmo contattarti per ulteriori informazioni o chiarimenti, al fine di garantire una comprensione completa della vulnerabilità.
• Diamo priorità alla risoluzione delle vulnerabilità segnalate in base alla loro gravità e complessità. Il nostro team si impegna ad adottare le misure necessarie per affrontare e mitigare i rischi in modo rapido ed efficace.
• Manterremo una comunicazione aperta e trasparente con te durante tutto il processo. Ti terremo informato sui progressi delle nostre indagini e sulla risoluzione del problema, fornendoti aggiornamenti regolari nelle fasi cruciali.

Esclusioni

Sebbene incoraggiamo la segnalazione di eventuali vulnerabilità di sicurezza individuate, ti ricordiamo che le seguenti azioni sono severamente vietate:

• Effettuare scansioni automatizzate invasive o che causano interruzioni sulla nostra infrastruttura.
• Accedere, scaricare, modificare o interferire in altro modo con i dati contenuti in account o sistemi di cui non sei il proprietario o per i quali non disponi di un'autorizzazione esplicita.
• Svolgere attività volte a compromettere, danneggiare o minacciare intenzionalmente l'integrità operativa dei nostri prodotti e dei relativi servizi o sistemi.
• Rendere pubblica una vulnerabilità individuata prima che venga risolta.
• Cercare di mettere in atto qualsiasi forma di ingegneria sociale, attacchi di phishing o pratiche ingannevoli nei confronti dei nostri dipendenti, utenti o infrastrutture.
• Lanciare attacchi alla sicurezza fisica delle strutture di Sonova.

Vulnerabilità non incluse in questo programma

Questo programma di segnalazione delle vulnerabilità riguarda esclusivamente le vulnerabilità relative ai prodotti Sonova, alla loro infrastruttura di base e ai servizi correlati. Pertanto, le vulnerabilità presenti sul nostro sito web o sull'infrastruttura accessibile al pubblico non rientrano attualmente nell'ambito di applicazione di questo programma.

Per garantire un'allocazione efficiente delle risorse e concentrarci sulla mitigazione delle vulnerabilità con un impatto significativo, abbiamo deciso di escludere le seguenti categorie dal presente programma di segnalazione delle vulnerabilità. La segnalazione di tali vulnerabilità potrebbe non comportare alcun riconoscimento né l'adozione di misure correttive:

• Contributi generati da strumenti di scansione automatica o analisi automatizzate.
• Osservazioni relative agli algoritmi crittografici SSL/TLS poco sicuri e alle vulnerabilità nelle configurazioni TLS, a meno che non si possa dimostrare l'esistenza di un rischio concreto e sfruttabile specifico per il nostro ambiente.
• Mancanza delle misure di sicurezza raccomandate, utilizzo di librerie note per le loro vulnerabilità o messaggi di errore non dettagliati, a meno che questi non includano percorsi chiari e dimostrabili per lo sfruttamento delle vulnerabilità.

Note legali / Safe Harbour

Noi di Sonova apprezziamo il contributo dei ricercatori nel campo della sicurezza e riconosciamo l'importanza del loro impegno nel migliorare la sicurezza dei nostri prodotti.

Se rispetti le linee guida della nostra politica di segnalazione delle vulnerabilità, le tue azioni saranno considerate autorizzate e non intraprenderemo alcuna azione legale nei tuoi confronti. Pur sostenendo la ricerca responsabile in materia di sicurezza, ti ricordiamo che l'adesione a questa politica non ti esonera dal rispetto delle leggi locali applicabili. Se una terza parte intraprende un'azione legale in relazione alle tue attività ai sensi della presente politica, tieni presente che, sebbene il nostro obiettivo sia chiarire la natura della tua conformità alla nostra politica, non possiamo fornirti assistenza legale né intervenire direttamente per tuo conto.

Contattaci

Per qualsiasi domanda o segnalazione relativa a vulnerabilità di sicurezza, contatta il nostro servizio clienti all'indirizzo https://eu.sennheiser-hearing.com/pages/contact/.