Politica coordinata sulla divulgazione delle vulnerabilità

Introduzione

In Sonova, ci impegniamo a garantire la sicurezza e la resilienza dei nostri prodotti e servizi correlati. Comprendiamo che, nonostante i nostri sforzi, possono verificarsi vulnerabilità. Tutti sono incoraggiati a segnalare sospette vulnerabilità o problemi di sicurezza relativi ai nostri prodotti o al loro software o infrastruttura sottostante. Ciò include ricercatori di sicurezza, clienti e consumatori finali, CERT (Computer Emergency Response Teams), gruppi industriali, partner e tutti gli altri stakeholder.

Prima di mandare una segnalazione, dai un'occhiata a questa politica e assicurati che quello che fai sia in linea con le sue regole.

Segnalare una vulnerabilità

Chiediamo cortesemente a chiunque ritenga di aver scoperto una potenziale vulnerabilità di sicurezza nei nostri prodotti o servizi correlati di segnalarcela il prima possibile tramite la nostra organizzazione di servizio clienti.

Quando mandi una segnalazione, segui queste indicazioni:

• Fornisci informazioni dettagliate sulla potenziale vulnerabilità, compresa una descrizione chiara e i passaggi necessari per riprodurre il risultato. Nell'allegato trovi un modello per segnalare il risultato.
• Evita qualsiasi cosa che possa mettere a rischio la riservatezza, l'integrità, la disponibilità o la sicurezza dei nostri prodotti, servizi o dati. Per favore, non causare danni materiali, non modificare i dati, non abusare dell'escalation dei privilegi e non scaricare più dati di quelli che servono per mostrare la vulnerabilità.
• Mantieni la riservatezza delle tue scoperte fino a quando non avremo completato la nostra indagine e implementato le misure necessarie. Questo aiuta a proteggere i nostri utenti e garantisce una gestione responsabile dei problemi di sicurezza.
• Per favore, facci sapere in anticipo se hai intenzione di rendere pubblica la vulnerabilità.
• Per favore, lasciaci i tuoi contatti, tipo un indirizzo email o un numero di telefono, così possiamo ricontattarti per saperne di più.

Il nostro impegno

Quando riceve una segnalazione su un problema di sicurezza, Sonova si impegna a fare questo:

• Ti faremo sapere che abbiamo ricevuto la tua segnalazione, confermando che è stata presa in carico e che la stiamo esaminando.
• Il nostro team di sicurezza dedicato condurrà un'indagine approfondita sulla vulnerabilità segnalata. Potremmo contattarLa per ulteriori informazioni o chiarimenti al fine di garantire una comprensione completa della vulnerabilità.
• Diamo priorità alla risoluzione delle vulnerabilità segnalate in base alla loro gravità e complessità. Il nostro team si impegna ad adottare le misure necessarie per affrontare e mitigare i rischi in modo rapido ed efficace.
• Comunicheremo con te in modo aperto e trasparente durante tutto il processo. Ti terremo aggiornato su come va l'indagine e la risoluzione del problema, con aggiornamenti regolari nelle fasi più importanti.

Esenzioni

Sebbene incoraggiamo la segnalazione di qualsiasi vulnerabilità di sicurezza riscontrata, si prega di notare che le seguenti azioni sono severamente proibite:

• Usare scansioni automatiche invasive o che disturbano la nostra infrastruttura.
• Accedere, scaricare, modificare o fare qualsiasi altra cosa con i dati di account o sistemi che non ti appartengono o per cui non hai il permesso di usare.
• Eseguire attività che intenzionalmente interrompono, degradano o minacciano l'integrità operativa dei nostri prodotti e dei servizi o sistemi correlati.
• Divulgare pubblicamente le vulnerabilità identificate prima della nostra risoluzione.
• Impegnarsi in qualsiasi forma di ingegneria sociale, attacchi di phishing o pratiche ingannevoli contro i nostri dipendenti, utenti o infrastruttura.
• Fare attacchi alla sicurezza fisica delle cose di Sonova.

Vulnerabilità non rientranti nell'ambito di questo programma

Questo programma di divulgazione delle vulnerabilità si concentra sulle vulnerabilità relative ai prodotti Sonova, alla loro infrastruttura sottostante e ai servizi correlati. Pertanto, le vulnerabilità sul nostro sito web o sull'infrastruttura esposta pubblicamente non rientrano attualmente nell'ambito di questo programma.

Per consentire un'allocazione efficiente delle risorse e concentrarsi sulla mitigazione delle vulnerabilità con un impatto significativo, definiamo le seguenti categorie come fuori ambito per questo programma di divulgazione delle vulnerabilità. La segnalazione di queste potrebbe non comportare un riconoscimento o azioni di rimedio.

• Documenti che vengono da strumenti di scansione automatica o analisi automatica.
• Osservazioni riguardanti algoritmi crittografici SSL/TLS deboli e vulnerabilità nelle configurazioni TLS, a meno che non possa essere dimostrato un rischio effettivo e sfruttabile specifico per il nostro ambiente.
• Assenza di misure di sicurezza raccomandate, implementazione di librerie note per vulnerabilità o messaggi di errore dettagliati, a meno che questi non includano percorsi chiari e dimostrabili per lo sfruttamento.

Informativa legale / Safe Harbour

In Sonova, apprezziamo i contributi dei ricercatori di sicurezza e riconosciamo l'importanza dei loro sforzi nel migliorare la sicurezza dei nostri prodotti.

Se rispetti le linee guida della nostra politica di divulgazione delle vulnerabilità, le tue azioni saranno considerate autorizzate e non avvieremo azioni legali contro di te. Sebbene sosteniamo la ricerca responsabile sulla sicurezza, si prega di notare che la tua adesione a questa politica non ti esime dal rispettare le leggi locali applicabili. Se un'azione legale viene avviata da una terza parte in relazione alle tue attività ai sensi di questa politica, tieni presente che, sebbene miriamo a chiarire la natura della tua conformità alla nostra politica, non possiamo impegnarci in rappresentanza legale o intervento diretto per tuo conto.

Contattaci

Per qualsiasi domanda o segnalazione riguardante le vulnerabilità di sicurezza, si prega di contattare il nostro servizio clienti https://eu.sennheiser-hearing.com/pages/contact/.