Inleiding

Bij Sonova zetten we ons in voor de veiligheid en veerkracht van onze producten en gerelateerde diensten. We begrijpen dat ondanks onze inspanningen kwetsbaarheden kunnen optreden. Iedereen wordt aangemoedigd om vermoedelijke kwetsbaarheden of beveiligingsproblemen met betrekking tot onze producten of de onderliggende software of infrastructuur te melden. Dit omvat beveiligingsonderzoekers, klanten en eindgebruikers, CERT's (Computer Emergency Response Teams), branchegroepen, partners en alle andere belanghebbenden.

Lees dit beleid goed door voordat je een melding doet en zorg ervoor dat je dingen doet volgens de richtlijnen.

Een kwetsbaarheid melden

Wij verzoeken iedereen die meent een potentiële beveiligingskwetsbaarheid in onze producten of gerelateerde diensten te hebben ontdekt, dit zo spoedig mogelijk via onze klantenservice aan ons te melden.

Volg bij het indienen van een melding de volgende richtlijnen:

  • Geef gedetailleerde informatie over de potentiële kwetsbaarheid, inclusief een duidelijke beschrijving en stappen om de bevinding te reproduceren. Een sjabloon om uw bevinding te melden, vindt u in de bijlage.
  • Vermijd handelingen die de vertrouwelijkheid, integriteit, beschikbaarheid of veiligheid van onze producten en diensten of gegevens kunnen schaden. Gelieve geen materiële schade te veroorzaken, gegevens te wijzigen, misbruik te maken van privilege-escalatie of meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen.
  • Handhaaf de vertrouwelijkheid van uw bevindingen totdat wij ons onderzoek hebben afgerond en de nodige maatregelen hebben geïmplementeerd. Dit helpt onze gebruikers te beschermen en zorgt voor een verantwoorde afhandeling van beveiligingsproblemen.
  • Informeer ons vooraf over uw intentie om de kwetsbaarheid openbaar te maken.
  • Geef je contactgegevens door, zoals je e-mailadres of telefoonnummer, zodat we contact met je kunnen opnemen voor verder onderzoek.

Onze belofte

Als Sonova een melding krijgt over een beveiligingslek, doen we het volgende:

  • We laten je even weten dat we je melding hebben gekregen, zodat je zeker weet dat we je bericht hebben ontvangen en ermee aan de slag gaan.
  • Ons toegewijde beveiligingsteam zal een grondig onderzoek uitvoeren naar de gemelde kwetsbaarheid. Wij kunnen contact met u opnemen voor verdere informatie of verduidelijking om een volledig begrip van de kwetsbaarheid te waarborgen.
  • Wij geven prioriteit aan de oplossing van gemelde kwetsbaarheden op basis van hun ernst en complexiteit. Ons team zet zich in om de nodige stappen te ondernemen om risico's snel en effectief aan te pakken en te beperken.
  • We blijven open en eerlijk met je communiceren tijdens het hele proces. Je blijft op de hoogte van hoe het gaat met het onderzoek en het oplossen van het probleem, met regelmatige updates op belangrijke momenten.

Uitsluitingen

Hoewel we het melden van gevonden beveiligingskwetsbaarheden aanmoedigen, zijn de volgende acties strikt verboden:

  • Het gebruik van invasieve of storende geautomatiseerde scans tegen onze infrastructuur.
  • Toegang krijgen tot, downloaden, wijzigen of anderszins interfereren met gegevens in accounts of systemen die u niet bezit of waarvoor u geen expliciete toestemming hebt om mee te interageren.
  • Activiteiten uitvoeren die opzettelijk de operationele integriteit van onze producten en gerelateerde diensten of systemen verstoren, aantasten of bedreigen.
  • Het openbaar maken van een geïdentificeerde kwetsbaarheid voordat wij deze hebben opgelost.
  • Zich bezighouden met enige vorm van social engineering, phishingaanvallen of misleidende praktijken tegen onze medewerkers, gebruikers of infrastructuur.
  • Het uitvoeren van fysieke beveiligingsaanvallen op activa van Sonova.

Kwetsbaarheden die buiten het bereik van dit programma vallen

Dit programma voor het openbaar maken van kwetsbaarheden richt zich op kwetsbaarheden met betrekking tot Sonova-producten, de onderliggende infrastructuur en gerelateerde diensten. Als zodanig vallen kwetsbaarheden op onze website of openbaar toegankelijke infrastructuur momenteel niet binnen het bereik van dit programma.

Om een efficiënte toewijzing van middelen mogelijk te maken en ons te richten op het beperken van kwetsbaarheden met een aanzienlijke impact, definiëren we de volgende categorieën als buiten het bereik van dit programma voor het openbaar maken van kwetsbaarheden. Het melden hiervan leidt mogelijk niet tot een bevestiging of herstelacties:

  • Meldingen die voortvloeien uit geautomatiseerde scanningtools of geautomatiseerde analyse.
  • Opmerkingen betreffende zwakke SSL/TLS cryptografische algoritmen en kwetsbaarheden in TLS-configuraties, tenzij een daadwerkelijk, exploiteerbaar risico specifiek voor onze omgeving kan worden aangetoond.
  • Afwezigheid van aanbevolen beveiligingsmaatregelen, implementatie van bibliotheken die bekend staan om kwetsbaarheden, of gedetailleerde foutmeldingen, tenzij deze duidelijke, aantoonbare paden voor exploitatie bevatten.

Juridische verklaring / Veilige haven

Bij Sonova waarderen wij de bijdragen van beveiligingsonderzoekers en erkennen wij het belang van hun inspanningen bij het verbeteren van de beveiliging van onze producten.

Als u voldoet aan de richtlijnen van ons beleid voor het openbaar maken van kwetsbaarheden, worden uw acties als geautoriseerd beschouwd en zullen wij geen juridische stappen tegen u ondernemen. Hoewel we verantwoord beveiligingsonderzoek ondersteunen, dient u er rekening mee te houden dat uw naleving van dit beleid u niet vrijstelt van de naleving van toepasselijke lokale wetten. Indien een derde partij juridische stappen onderneemt met betrekking tot uw activiteiten onder dit beleid, dient u zich ervan bewust te zijn dat, hoewel wij ernaar streven de aard van uw naleving van ons beleid te verduidelijken, wij geen juridische vertegenwoordiging of directe tussenkomst namens u kunnen bieden.

Neem contact met ons op

Voor vragen of meldingen betreffende beveiligingskwetsbaarheden kunt u contact opnemen met onze klantenservice https://eu.sennheiser-hearing.com/pages/contact/.