Informativa sulla Divulgazione Coordinata delle Vulnerabilità

Introduzione

In Sonova, ci impegniamo a garantire la sicurezza e la resilienza dei nostri prodotti e dei servizi correlati. Comprendiamo che nonostante i nostri sforzi, possono verificarsi vulnerabilità. Tutti sono incoraggiati a segnalare sospette vulnerabilità o problemi di sicurezza relativi ai nostri prodotti o al software o all'infrastruttura sottostanti. Ciò include ricercatori di sicurezza, clienti e consumatori finali, CERT (Computer Emergency Response Team), gruppi di settore, partner e tutti gli altri stakeholder.

Prima di inviare una segnalazione, ti invitiamo a leggere attentamente questa policy e ad assicurarti che le tue azioni siano allineate alle sue linee guida.

Segnalazione di una vulnerabilità

Chiediamo gentilmente a chiunque ritenga di aver scoperto una potenziale vulnerabilità di sicurezza nei nostri prodotti o nei servizi correlati di segnalarcela il prima possibile tramite la nostra organizzazione di assistenza clienti.

Quando invii una segnalazione, ti preghiamo di seguire queste linee guida:

• Fornisci informazioni dettagliate sulla potenziale vulnerabilità, inclusa una descrizione chiara e i passaggi per riprodurre il problema rilevato. Trovi un modello per segnalare il tuo problema nell'Annex.
• Evita qualsiasi azione che possa danneggiare la riservatezza, l'integrità, la disponibilità o la sicurezza dei nostri prodotti e servizi o dei dati. Ti preghiamo di non causare danni materiali, alterare dati, abusare di escalation di privilegi o scaricare più dati di quelli necessari per dimostrare la vulnerabilità.
• Mantieni la riservatezza delle tue scoperte finché non avremo completato la nostra indagine e implementato le misure necessarie. Questo aiuta a proteggere i nostri utenti e garantisce una gestione responsabile dei problemi di sicurezza.
• Ti preghiamo di informarci in anticipo sulla tua intenzione di divulgare pubblicamente la vulnerabilità.
• Ti preghiamo di fornire i tuoi dati di contatto, come un indirizzo email o un numero di telefono, in modo che possiamo ricontattarti per ulteriori indagini.

Il nostro impegno

Al ricevimento di una segnalazione di vulnerabilità di sicurezza, Sonova si impegna a quanto segue:

• Confermeremo la ricezione della tua segnalazione, confermando che la tua comunicazione è stata ricevuta ed è in fase di elaborazione.
• Il nostro team dedicato alla sicurezza condurrà un'indagine approfondita della vulnerabilità segnalata. Potremmo contattarti per ulteriori informazioni o chiarimenti per garantire una comprensione completa della vulnerabilità.
• Diamo priorità alla risoluzione delle vulnerabilità segnalate in base alla loro gravità e complessità. Il nostro team si impegna ad adottare le misure necessarie per affrontare e mitigare i rischi in modo rapido ed efficace.
• Manterremo una comunicazione aperta e trasparente con te durante tutto il processo. Sarai informato sui nostri progressi nell'indagine e nella risoluzione del problema, con aggiornamenti regolari forniti nelle fasi chiave.

Esclusioni

Sebbene incoraggiamo la segnalazione di qualsiasi vulnerabilità di sicurezza rilevata, ti preghiamo di notare che le seguenti azioni sono severamente vietate:

• Utilizzare scansioni automatizzate invasive o distruttive contro la nostra infrastruttura.
• Accedere, scaricare, modificare o interferire in altro modo con dati in account o sistemi di cui non sei proprietario o per i quali non hai autorizzazione esplicita a interagire.
• Eseguire attività che intenzionalmente interrompono, degradano o minacciano l'integrità operativa dei nostri prodotti e servizi o sistemi correlati.
• Divulgare pubblicamente la vulnerabilità identificata prima della nostra risoluzione.
• Impegnarsi in qualsiasi forma di social engineering, attacchi di phishing o pratiche ingannevoli contro i nostri dipendenti, utenti o infrastruttura.
• Condurre attacchi alla sicurezza fisica sugli asset di Sonova.

Vulnerabilità fuori dall'ambito di questo programma

Questo programma di divulgazione delle vulnerabilità si concentra sulle vulnerabilità relative ai prodotti Sonova, alla loro infrastruttura sottostante e ai servizi correlati. Pertanto, le vulnerabilità sul nostro sito web o sull'infrastruttura pubblica non rientrano attualmente nell'ambito di questo programma.

Per consentire un'allocazione efficiente delle risorse e concentrarci sulla mitigazione delle vulnerabilità con impatto significativo, definiamo le seguenti categorie come fuori dall'ambito di questo programma di divulgazione delle vulnerabilità. La segnalazione di queste potrebbe non comportare azioni di riconoscimento o risoluzione:

• Segnalazioni risultanti da strumenti di scansione automatizzata o analisi automatizzate.
• Osservazioni relative ad algoritmi crittografici SSL/TLS deboli e vulnerabilità nelle configurazioni TLS, a meno che non possa essere dimostrato un rischio effettivo e sfruttabile specifico per il nostro ambiente.
• Assenza di misure di sicurezza consigliate, implementazione di librerie note per vulnerabilità o messaggi di errore dettagliati, a meno che questi non includano percorsi chiari e dimostrabili per lo sfruttamento.

Dichiarazione legale / Safe Harbour

In Sonova, apprezziamo i contributi dei ricercatori di sicurezza e riconosciamo l'importanza dei loro sforzi nel migliorare la sicurezza dei nostri prodotti.

Se rispetti le linee guida della nostra politica di divulgazione delle vulnerabilità, le tue azioni saranno considerate autorizzate e non avvieremo azioni legali contro di te. Sebbene supportiamo la ricerca responsabile in materia di sicurezza, tieni presente che il tuo rispetto di questa politica non ti esonera dal conformarti a tutte le leggi locali applicabili. Se un'azione legale viene avviata da terzi in relazione alle tue attività nell'ambito di questa politica, tieni presente che, sebbene miriamo a chiarire la natura della tua conformità con la nostra politica, non possiamo impegnarci in rappresentanza legale o intervento diretto per tuo conto.

Contattaci

Per qualsiasi domanda o segnalazione relativa a vulnerabilità di sicurezza, contatta il nostro servizio clienti https://eu.sennheiser-hearing.com/pages/contact/.