Introduzione

Noi di Sonova ci impegniamo a garantire la sicurezza e la resilienza dei nostri prodotti e dei servizi correlati. Siamo consapevoli che, nonostante i nostri sforzi, possono verificarsi delle vulnerabilità. Invitiamo tutti a segnalare eventuali vulnerabilità sospette o problemi di sicurezza relativi ai nostri prodotti o al software o all'infrastruttura sottostante. Ciò include ricercatori nel campo della sicurezza, clienti e consumatori finali, CERT (Computer Emergency Response Teams), gruppi industriali, partner e tutte le altre parti interessate.

Prima di inviare una segnalazione, leggi attentamente questa politica e assicurati che le tue azioni siano conformi alle sue linee guida.

Segnalazione di una vulnerabilità

Chiediamo gentilmente a chiunque ritenga di aver individuato una potenziale vulnerabilità di sicurezza nei nostri prodotti o servizi correlati di segnalarcelo al più presto tramite il nostro servizio clienti.

Quando invii una segnalazione, ti preghiamo di seguire queste linee guida:

  • Fornisci informazioni dettagliate sulla potenziale vulnerabilità, inclusa una descrizione chiara e i passaggi per riprodurre il risultato. Troverai un modello per segnalare il tuo risultato nell'allegato.
  • Evita qualsiasi azione che possa danneggiare la riservatezza, l'integrità, la disponibilità o la sicurezza dei nostri prodotti, servizi o dati. Ti preghiamo di astenerti dal causare danni materiali, alterare dati, abusare dell'escalation dei privilegi o scaricare più dati di quelli necessari per dimostrare la vulnerabilità.
  • Mantieni la riservatezza delle tue scoperte fino al completamento della nostra indagine e all'attuazione delle misure necessarie. Ciò contribuisce a proteggere i nostri utenti e garantisce una gestione responsabile delle questioni relative alla sicurezza.
  • Vi preghiamo di informarci in anticipo della vostra intenzione di rendere pubblica la vulnerabilità.
  • Fornisci i tuoi dati di contatto, come indirizzo e-mail o numero di telefono, in modo da poterti ricontattare per ulteriori approfondimenti.

Il nostro impegno

Una volta ricevuta una segnalazione relativa a una vulnerabilità di sicurezza, Sonova si impegna a:

  • Ti invieremo una conferma di ricezione della tua segnalazione, attestando che la tua richiesta è stata ricevuta ed è in fase di elaborazione.
  • Il nostro team dedicato alla sicurezza condurrà un'indagine approfondita sulla vulnerabilità segnalata. Potremmo contattarti per ulteriori informazioni o chiarimenti al fine di garantire una comprensione completa della vulnerabilità.
  • Diamo priorità alla risoluzione delle vulnerabilità segnalate in base alla loro gravità e complessità. Il nostro team si impegna ad adottare le misure necessarie per affrontare e mitigare i rischi in modo rapido ed efficace.
  • Manterremo una comunicazione aperta e trasparente con voi durante tutto il processo. Sarete tenuti informati sui progressi compiuti nell'indagine e nella risoluzione del problema, con aggiornamenti regolari forniti nelle fasi chiave.

Esclusioni

Sebbene incoraggiamo la segnalazione di eventuali vulnerabilità di sicurezza riscontrate, si prega di notare che le seguenti azioni sono severamente vietate:

  • Utilizzo di scansioni automatizzate invasive o dirompenti contro la nostra infrastruttura.
  • Accedere, scaricare, modificare o interferire in altro modo con i dati presenti in account o sistemi che non sono di tua proprietà o per i quali non disponi di un'autorizzazione esplicita all'interazione.
  • Svolgere attività che intenzionalmente compromettono, danneggiano o minacciano l'integrità operativa dei nostri prodotti e dei relativi servizi o sistemi.
  • Divulgazione pubblica delle vulnerabilità individuate prima della loro risoluzione.
  • Impegnarsi in qualsiasi forma di ingegneria sociale, attacchi di phishing o pratiche ingannevoli nei confronti dei nostri dipendenti, utenti o infrastrutture.
  • Condurre attacchi alla sicurezza fisica dei beni di Sonova.

Vulnerabilità non contemplate dal presente programma

Questo programma di divulgazione delle vulnerabilità si concentra sulle vulnerabilità relative ai prodotti Sonova, alla loro infrastruttura sottostante e ai servizi correlati. Pertanto, le vulnerabilità presenti sul nostro sito web o sull'infrastruttura accessibile al pubblico non rientrano attualmente nell'ambito di applicazione di questo programma.

Per consentire un'allocazione efficiente delle risorse e concentrarsi sulla mitigazione delle vulnerabilità con un impatto significativo, definiamo le seguenti categorie come fuori dall'ambito di applicazione di questo programma di divulgazione delle vulnerabilità. La segnalazione di queste vulnerabilità potrebbe non comportare il riconoscimento o l'adozione di misure correttive:

  • Contributi risultanti da strumenti di scansione automatizzata o analisi automatizzata.
  • Osservazioni relative ad algoritmi crittografici SSL/TLS deboli e vulnerabilità nelle configurazioni TLS, a meno che non sia possibile dimostrare un rischio effettivo e sfruttabile specifico per il nostro ambiente.
  • Assenza delle misure di sicurezza raccomandate, implementazione di librerie note per le loro vulnerabilità o messaggi di errore dettagliati, a meno che questi non includano percorsi chiari e dimostrabili per lo sfruttamento.

Dichiarazione legale / Safe Harbour

Noi di Sonova apprezziamo il contributo dei ricercatori nel campo della sicurezza e riconosciamo l'importanza del loro impegno nel migliorare la sicurezza dei nostri prodotti.

Se rispetti le linee guida della nostra politica di divulgazione delle vulnerabilità, le tue azioni saranno considerate autorizzate e non intraprenderemo alcuna azione legale nei tuoi confronti. Sebbene sosteniamo la ricerca responsabile in materia di sicurezza, ti preghiamo di notare che l'adesione a questa politica non ti esonera dal rispetto delle leggi locali applicabili. Se un'azione legale viene avviata da una terza parte in relazione alle tue attività ai sensi della presente politica, ti preghiamo di tenere presente che, sebbene il nostro obiettivo sia quello di chiarire la natura della tua conformità alla nostra politica, non possiamo fornire assistenza legale o intervenire direttamente per tuo conto.

Contattaci

Per qualsiasi domanda o segnalazione relativa a vulnerabilità di sicurezza, contatta il nostro servizio clienti all'indirizzo https://eu.sennheiser-hearing.com/pages/contact/.