Beleid inzake gecoördineerde openbaarmaking van kwetsbaarheden

Inleiding

Bij Sonova zetten we ons in om de veiligheid en veerkracht van onze producten en bijbehorende diensten te waarborgen. We beseffen dat er ondanks onze inspanningen toch kwetsbaarheden kunnen ontstaan. Iedereen wordt aangemoedigd om vermoedelijke kwetsbaarheden of veiligheidsproblemen met betrekking tot onze producten of de onderliggende software of infrastructuur te melden. Dit geldt voor beveiligingsonderzoekers, klanten en eindgebruikers, CERT’s (Computer Emergency Response Teams), brancheorganisaties, partners en alle andere belanghebbenden.

Lees dit beleid grondig door voordat je een melding indient en zorg ervoor dat je handelingen in overeenstemming zijn met de richtlijnen.

Een kwetsbaarheid melden

We vragen iedereen die denkt een mogelijk beveiligingslek in onze producten of bijbehorende diensten te hebben ontdekt, dit zo snel mogelijk via onze klantenservice aan ons te melden.

Houd je bij het indienen van een melding aan de volgende richtlijnen:

• Geef gedetailleerde informatie over de mogelijke kwetsbaarheid, inclusief een duidelijke beschrijving en stappen om de bevinding te reproduceren. In de bijlage vind je een sjabloon om je bevinding te melden.
• Vermijd alles wat de vertrouwelijkheid, integriteit, beschikbaarheid of veiligheid van onze producten, diensten of gegevens in gevaar kan brengen. Zorg ervoor dat je geen materiële schade veroorzaakt, gegevens wijzigt, misbruik maakt van bevoegdheden of meer gegevens downloadt dan nodig is om de kwetsbaarheid aan te tonen.
• Houd je bevindingen vertrouwelijk totdat we ons onderzoek hebben afgerond en de nodige maatregelen hebben genomen. Dit helpt onze gebruikers te beschermen en zorgt ervoor dat beveiligingskwesties op verantwoorde wijze worden afgehandeld.
• Laat ons van tevoren weten of je van plan bent de kwetsbaarheid openbaar te maken.
• Geef je contactgegevens door, zoals een e-mailadres of telefoonnummer, zodat we contact met je kunnen opnemen voor verder onderzoek.

Onze belofte

Zodra Sonova een melding van een beveiligingslek ontvangt, verbindt het zich ertoe het volgende te doen:

• We sturen je een ontvangstbevestiging, waarin we bevestigen dat we je melding hebben ontvangen en dat deze wordt verwerkt.
• Ons toegewijde beveiligingsteam zal de gemelde kwetsbaarheid grondig onderzoeken. Het kan zijn dat we contact met je opnemen voor meer informatie of verduidelijking, zodat we een volledig beeld krijgen van de kwetsbaarheid.
• We geven prioriteit aan het verhelpen van gemelde kwetsbaarheden op basis van de ernst en complexiteit ervan. Ons team zet zich in om de nodige maatregelen te nemen om risico’s snel en effectief aan te pakken en te beperken.
• We zullen gedurende het hele proces open en transparant met je communiceren. We houden je op de hoogte van de voortgang bij het onderzoeken en oplossen van het probleem, en geven je in belangrijke fasen regelmatig updates.

Uitsluitingen

Hoewel we je aanmoedigen om alle gevonden beveiligingslekken te melden, moet je er rekening mee houden dat de volgende handelingen ten strengste verboden zijn:

• Het gebruik van invasieve of verstorende geautomatiseerde scans op onze infrastructuur.
• Toegang verkrijgen tot, downloaden, wijzigen of op andere wijze ingrijpen in gegevens in accounts of systemen waarvan je niet de eigenaar bent of waarvoor je geen uitdrukkelijke toestemming hebt om ermee te werken.
• Activiteiten uitvoeren die erop gericht zijn de operationele integriteit van onze producten en bijbehorende diensten of systemen opzettelijk te verstoren, aan te tasten of in gevaar te brengen.
• Het openbaar maken van een ontdekte kwetsbaarheid voordat we die hebben verholpen.
• Je bezighouden met welke vorm dan ook van social engineering, phishingaanvallen of misleidende praktijken tegen onze medewerkers, gebruikers of infrastructuur.
• Fysieke beveiligingsaanvallen uitvoeren op de bedrijfsmiddelen van Sonova.

Kwetsbaarheden die buiten het bereik van dit programma vallen

Dit programma voor het melden van kwetsbaarheden is gericht op kwetsbaarheden in Sonova-producten, de onderliggende infrastructuur en bijbehorende diensten. Kwetsbaarheden op onze website of in onze openbare infrastructuur vallen momenteel dus niet onder dit programma.

Om middelen efficiënt in te zetten en ons te concentreren op het verhelpen van kwetsbaarheden met grote gevolgen, hebben we de volgende categorieën buiten het bereik van dit programma voor het melden van kwetsbaarheden geplaatst. Als je deze meldt, leidt dat mogelijk niet tot een bevestiging of tot maatregelen om ze te verhelpen:

• Inzendingen die afkomstig zijn van geautomatiseerde scantools of geautomatiseerde analyses.
• Opmerkingen over zwakke SSL/TLS-cryptografische algoritmen en kwetsbaarheden in TLS-configuraties, tenzij er een concreet, uitbuitbaar risico kan worden aangetoond dat specifiek is voor onze omgeving.
• Het ontbreken van aanbevolen beveiligingsmaatregelen, het gebruik van bibliotheken die bekend staan om hun kwetsbaarheden, of gedetailleerde foutmeldingen, tenzij deze duidelijke, aantoonbare manieren bevatten waarop misbruik kan worden gemaakt.

Juridische verklaring / Safe Harbour

Bij Sonova waarderen we de bijdragen van beveiligingsonderzoekers en erkennen we hoe belangrijk hun inspanningen zijn voor het verbeteren van de beveiliging van onze producten.

Als je je houdt aan de richtlijnen van ons beleid inzake het melden van kwetsbaarheden, worden je handelingen als geautoriseerd beschouwd en zullen we geen juridische stappen tegen je ondernemen. Hoewel we verantwoord beveiligingsonderzoek ondersteunen, moet je er rekening mee houden dat het naleven van dit beleid je niet vrijstelt van de verplichting om je aan alle toepasselijke lokale wetgeving te houden. Als er door een derde partij juridische stappen worden ondernomen met betrekking tot je activiteiten in het kader van dit beleid, houd er dan rekening mee dat we weliswaar zullen trachten de aard van je naleving van ons beleid te verduidelijken, maar dat we je niet juridisch kunnen vertegenwoordigen of namens jou direct kunnen ingrijpen.

Neem contact met ons op

Als je vragen hebt of een melding wilt doen over beveiligingslekken, neem dan contact op met onze klantenservice via https://eu.sennheiser-hearing.com/pages/contact/.