Inleiding

Bij Sonova doen we er alles aan om onze producten en bijbehorende diensten veilig en betrouwbaar te houden. We snappen dat er ondanks onze inspanningen toch kwetsbaarheden kunnen zijn. We moedigen iedereen aan om vermoedelijke kwetsbaarheden of veiligheidsproblemen met onze producten of de bijbehorende software of infrastructuur te melden. Dit geldt voor beveiligingsonderzoekers, klanten en eindgebruikers, CERT's (Computer Emergency Response Teams), brancheorganisaties, partners en alle andere belanghebbenden.

Lees dit beleid goed door voordat je een melding doet en zorg ervoor dat je dingen doet volgens de richtlijnen.

Een kwetsbaarheid melden

Als je denkt dat je een mogelijk beveiligingslek hebt gevonden in onze producten of diensten, laat het ons dan zo snel mogelijk weten via onze klantenservice.

Als je een rapport indient, volg dan deze richtlijnen:

  • Geef gedetailleerde info over de mogelijke kwetsbaarheid, inclusief een duidelijke beschrijving en stappen om de bevinding te reproduceren. In de bijlage vind je een sjabloon om je bevinding te melden.
  • Doe niks dat de vertrouwelijkheid, integriteit, beschikbaarheid of veiligheid van onze producten, diensten of gegevens kan schaden. Zorg ervoor dat je geen materiële schade veroorzaakt, gegevens verandert, misbruik maakt van privilege-escalatie of meer gegevens downloadt dan nodig is om de kwetsbaarheid aan te tonen.
  • Houd je bevindingen geheim totdat we ons onderzoek hebben afgerond en de nodige maatregelen hebben genomen. Dit helpt onze gebruikers te beschermen en zorgt ervoor dat beveiligingsproblemen op een verantwoorde manier worden aangepakt.
  • Laat ons alsjeblieft van tevoren weten dat je van plan bent om de kwetsbaarheid openbaar te maken.
  • Geef je contactgegevens door, zoals je e-mailadres of telefoonnummer, zodat we contact met je kunnen opnemen voor verder onderzoek.

Onze belofte

Als Sonova een melding krijgt over een beveiligingslek, doen we het volgende:

  • We laten je even weten dat we je melding hebben gekregen, zodat je zeker weet dat we je bericht hebben ontvangen en ermee aan de slag gaan.
  • Ons toegewijde beveiligingsteam gaat de gemelde kwetsbaarheid grondig onderzoeken. We kunnen contact met je opnemen voor meer info of verduidelijking om ervoor te zorgen dat we de kwetsbaarheid helemaal begrijpen.
  • We pakken gemelde kwetsbaarheden aan op basis van hoe ernstig en ingewikkeld ze zijn. Ons team doet er alles aan om risico's snel en goed aan te pakken en te verminderen.
  • We blijven open en eerlijk met je communiceren tijdens het hele proces. Je blijft op de hoogte van hoe het gaat met het onderzoek en het oplossen van het probleem, met regelmatige updates op belangrijke momenten.

Uitsluitingen

Hoewel we je aanmoedigen om alle gevonden beveiligingslekken te melden, moet je er rekening mee houden dat de volgende dingen echt niet mogen:

  • Het gebruik van invasieve of storende geautomatiseerde scans tegen onze infrastructuur.
  • Toegang krijgen tot, downloaden, wijzigen of anderszins knoeien met gegevens in accounts of systemen die niet van jou zijn of waarvoor je geen duidelijke toestemming hebt om ermee te werken.
  • Dingen doen die onze producten en bijbehorende diensten of systemen expres verstoren, beschadigen of bedreigen.
  • Het openbaar maken van een gevonden kwetsbaarheid voordat we het hebben opgelost.
  • Je mag niet bezig zijn met social engineering, phishingaanvallen of misleidende praktijken tegen onze medewerkers, gebruikers of infrastructuur.
  • Fysieke aanvallen uitvoeren op de spullen van Sonova.

Beveiligingslekken die niet onder dit programma vallen

Dit programma voor het melden van kwetsbaarheden richt zich op kwetsbaarheden die te maken hebben met Sonova-producten, de infrastructuur erachter en bijbehorende diensten. Kwetsbaarheden op onze website of openbare infrastructuur vallen dus niet onder dit programma.

Om onze middelen goed te kunnen gebruiken en ons te focussen op het oplossen van kwetsbaarheden die echt belangrijk zijn, hebben we een paar dingen die niet onder dit programma vallen. Als je deze meldt, doen we er misschien niks mee of lossen we ze niet op:

  • Inzendingen die zijn gemaakt met automatische scanners of automatische analyseprogramma's.
  • Opmerkingen over zwakke SSL/TLS-cryptografische algoritmen en kwetsbaarheden in TLS-configuraties, tenzij er echt een risico is dat specifiek is voor onze omgeving en dat kan worden aangetoond.
  • Als je de aanbevolen beveiligingsmaatregelen niet hebt, bibliotheken gebruikt die bekend staan om hun kwetsbaarheden, of gedetailleerde foutmeldingen geeft, tenzij deze duidelijke, aantoonbare manieren bevatten om misbruik te maken van de situatie.

Juridische verklaring / Veilige haven

Bij Sonova waarderen we de bijdragen van beveiligingsonderzoekers en snappen we hoe belangrijk hun werk is om de beveiliging van onze producten te verbeteren.

Als je je aan de richtlijnen van ons beleid voor het melden van kwetsbaarheden houdt, zien we je acties als toegestaan en ondernemen we geen juridische stappen tegen je. Hoewel we verantwoord beveiligingsonderzoek steunen, moet je er rekening mee houden dat het naleven van dit beleid je niet vrijstelt van het naleven van toepasselijke lokale wetten. Als er door een derde partij juridische stappen worden ondernomen met betrekking tot je activiteiten in het kader van dit beleid, houd er dan rekening mee dat we weliswaar streven naar verduidelijking van de aard van je naleving van ons beleid, maar dat we je niet juridisch kunnen vertegenwoordigen of namens je kunnen optreden.

Neem contact met ons op

Als je vragen hebt of iets wilt melden over beveiligingslekken, neem dan contact op met onze klantenservice via https://eu.sennheiser-hearing.com/pages/contact/.