Inleiding

Bij Sonova zijn we toegewijd aan het waarborgen van de veiligheid en veerkracht van onze producten en gerelateerde diensten. We begrijpen dat ondanks onze inspanningen kwetsbaarheden kunnen optreden. Iedereen wordt aangemoedigd om vermoedelijke kwetsbaarheden of beveiligingsproblemen te melden die verband houden met onze producten of hun onderliggende software of infrastructuur. Dit omvat beveiligingsonderzoekers, klanten en eindgebruikers, CERT's (Computer Emergency Response Teams), branchegroepen, partners en alle andere belanghebbenden.

Lees dit beleid grondig door voordat je een melding indient en zorg ervoor dat je acties in lijn zijn met de richtlijnen.

Een Kwetsbaarheid Melden

We verzoeken iedereen die denkt een potentiële beveiligingskwetsbaarheid in onze producten of gerelateerde diensten te hebben ontdekt, dit zo snel mogelijk bij ons te melden via onze klantenservice.

Volg bij het indienen van een melding deze richtlijnen:

  • Verstrek gedetailleerde informatie over de potentiële kwetsbaarheid, inclusief een duidelijke beschrijving en stappen om de bevinding te reproduceren. Je vindt een sjabloon om je bevinding te melden in de Bijlage.
  • Vermijd acties die de vertrouwelijkheid, integriteit, beschikbaarheid of veiligheid van onze producten en diensten of gegevens kunnen schaden. Veroorzaak geen materiële schade, wijzig geen gegevens, maak geen misbruik van privilege-escalatie en download niet meer gegevens dan noodzakelijk is om de kwetsbaarheid aan te tonen.
  • Houd je bevindingen vertrouwelijk totdat we ons onderzoek hebben afgerond en de noodzakelijke maatregelen hebben genomen. Dit helpt onze gebruikers te beschermen en zorgt voor een verantwoorde behandeling van beveiligingskwesties.
  • Laat ons van tevoren weten dat je van plan bent de kwetsbaarheid openbaar te maken.
  • Verstrek je contactgegevens, zoals een e-mailadres of telefoonnummer, zodat we contact met je kunnen opnemen voor verder onderzoek.

Onze toewijding

Bij ontvangst van een melding van een beveiligingskwetsbaarheid verbindt Sonova zich tot het volgende:

  • We bevestigen de ontvangst van je melding en laten weten dat je inzending is ontvangen en wordt verwerkt.
  • Ons toegewijde beveiligingsteam voert een grondig onderzoek uit naar de gemelde kwetsbaarheid. We kunnen contact met je opnemen voor meer informatie of verduidelijking om een volledig begrip van de kwetsbaarheid te waarborgen.
  • We prioriteren de oplossing van gemelde kwetsbaarheden op basis van hun ernst en complexiteit. Ons team zet zich in om de noodzakelijke stappen te nemen om risico's snel en effectief aan te pakken en te beperken.
  • We onderhouden een open en transparante communicatie met je gedurende het hele proces. Je wordt op de hoogte gehouden van onze voortgang bij het onderzoeken en oplossen van het probleem, met regelmatige updates in belangrijke fasen.

Uitsluitingen

Hoewel we aanmoedigen om alle gevonden beveiligingskwetsbaarheden te melden, zijn de volgende handelingen strikt verboden:

  • Het gebruik van invasieve of ontwrichtende geautomatiseerde scans tegen onze infrastructuur.
  • Het toegang verkrijgen tot, downloaden, wijzigen of anderszins verstoren van gegevens in accounts of systemen die je niet bezit of waarvoor je geen expliciete toestemming hebt om mee te interageren.
  • Het uitvoeren van activiteiten die opzettelijk de operationele integriteit van onze producten en gerelateerde diensten of systemen verstoren, aantasten of bedreigen.
  • Het openbaar maken van geïdentificeerde kwetsbaarheden voordat wij deze hebben opgelost.
  • Het toepassen van enige vorm van social engineering, phishingaanvallen of misleidende praktijken gericht tegen onze medewerkers, gebruikers of infrastructuur.
  • Het uitvoeren van fysieke beveiligingsaanvallen op eigendommen van Sonova.

Kwetsbaarheden die buiten het bereik van dit programma vallen

Dit programma voor het melden van kwetsbaarheden richt zich op kwetsbaarheden met betrekking tot Sonova-producten, hun onderliggende infrastructuur en gerelateerde diensten. Daarom vallen kwetsbaarheden op onze website of publiek toegankelijke infrastructuur momenteel niet binnen het bereik van dit programma.

Om een efficiënte toewijzing van middelen mogelijk te maken en ons te richten op het beperken van kwetsbaarheden met significante impact, definiëren we de volgende categorieën als buiten het bereik van dit programma voor het melden van kwetsbaarheden. Het melden hiervan kan mogelijk niet leiden tot erkenning of herstelacties:

  • Inzendingen die voortkomen uit geautomatiseerde scantools of geautomatiseerde analyses.
  • Waarnemingen betreffende zwakke SSL/TLS-cryptografische algoritmen en kwetsbaarheden in TLS-configuraties, tenzij een daadwerkelijk, exploiteerbaar risico specifiek voor onze omgeving kan worden aangetoond.
  • Afwezigheid van aanbevolen beveiligingsmaatregelen, implementatie van bibliotheken die bekendstaan om kwetsbaarheden, of gedetailleerde foutmeldingen, tenzij deze duidelijke, aantoonbare exploitatiemogelijkheden bevatten.

Juridische verklaring / Safe Harbour

Bij Sonova waarderen we de bijdragen van beveiligingsonderzoekers en erkennen we het belang van hun inspanningen bij het verbeteren van de beveiliging van onze producten.

Als je de richtlijnen van ons kwetsbaarhedenbeleid naleeft, worden je acties als geautoriseerd beschouwd en zullen we geen juridische stappen tegen je ondernemen. Hoewel we verantwoordelijk beveiligingsonderzoek ondersteunen, moet je er rekening mee houden dat je naleving van dit beleid je niet vrijstelt van het naleven van toepasselijke lokale wetgeving. Als een derde partij juridische stappen onderneemt met betrekking tot je activiteiten onder dit beleid, houd er dan rekening mee dat we, hoewel we ernaar streven de aard van je naleving van ons beleid te verduidelijken, geen juridische vertegenwoordiging of directe tussenkomst namens jou kunnen bieden.

Neem contact op

Voor vragen of meldingen over beveiligingskwetsbaarheden kun je contact opnemen met onze klantenservice https://eu.sennheiser-hearing.com/pages/contact/.