Beleid inzake gecoördineerde openbaarmaking van kwetsbaarheden

Inleiding

Bij Sonova zetten we ons in om de veiligheid en veerkracht van onze producten en aanverwante diensten te waarborgen. We begrijpen dat er ondanks onze inspanningen kwetsbaarheden kunnen optreden. Iedereen wordt aangemoedigd om vermoedelijke kwetsbaarheden of veiligheidsproblemen met betrekking tot onze producten of de onderliggende software of infrastructuur te melden. Dit geldt voor beveiligingsonderzoekers, klanten en eindgebruikers, CERT's (Computer Emergency Response Teams), brancheorganisaties, partners en alle andere belanghebbenden.

Lees dit beleid zorgvuldig door voordat u een melding indient en zorg ervoor dat uw handelingen in overeenstemming zijn met de richtlijnen.

Een kwetsbaarheid melden

Wij verzoeken iedereen die denkt een mogelijke beveiligingslek in onze producten of aanverwante diensten te hebben ontdekt, dit zo snel mogelijk aan ons te melden via onze klantenservice.

Houd u bij het indienen van een rapport aan de volgende richtlijnen:

Geef gedetailleerde informatie over de mogelijke kwetsbaarheid, inclusief een duidelijke beschrijving en stappen om de bevinding te reproduceren. In de bijlage vindt u een sjabloon om uw bevinding te melden.
Vermijd alle handelingen die de vertrouwelijkheid, integriteit, beschikbaarheid of veiligheid van onze producten en diensten of gegevens kunnen schaden. Veroorzaak geen materiële schade, wijzig geen gegevens, maak geen misbruik van privilege-escalatie en download niet meer gegevens dan nodig is om de kwetsbaarheid aan te tonen.
Houd uw bevindingen vertrouwelijk totdat wij ons onderzoek hebben afgerond en de nodige maatregelen hebben genomen. Dit helpt onze gebruikers te beschermen en zorgt ervoor dat beveiligingskwesties op verantwoorde wijze worden afgehandeld.
Gelieve ons vooraf op de hoogte te brengen van uw voornemen om de kwetsbaarheid openbaar te maken.
Geef uw contactgegevens door, zoals een e-mailadres of telefoonnummer, zodat we contact met u kunnen opnemen voor verder onderzoek.

Onze toewijding

Na ontvangst van een melding van een beveiligingslek verbindt Sonova zich tot het volgende:

Wij zullen de ontvangst van uw melding bevestigen en u laten weten dat uw melding is ontvangen en in behandeling is genomen.
Ons toegewijde beveiligingsteam zal een grondig onderzoek uitvoeren naar de gemelde kwetsbaarheid. We kunnen contact met u opnemen voor meer informatie of verduidelijking om een volledig begrip van de kwetsbaarheid te verkrijgen.
We geven prioriteit aan het oplossen van gemelde kwetsbaarheden op basis van hun ernst en complexiteit. Ons team zet zich in om de nodige stappen te nemen om risico's snel en effectief aan te pakken en te beperken.
We zullen gedurende het hele proces open en transparant met u communiceren. U wordt op de hoogte gehouden van onze vorderingen bij het onderzoeken en oplossen van het probleem, met regelmatige updates op belangrijke momenten.

Uitsluitingen

Hoewel we het melden van gevonden beveiligingskwetsbaarheden aanmoedigen, dient u er rekening mee te houden dat de volgende handelingen ten strengste verboden zijn:

Het gebruik van invasieve of verstorende geautomatiseerde scans tegen onze infrastructuur.
Toegang verkrijgen tot, downloaden, wijzigen of anderszins interfereren met gegevens in accounts of systemen die niet uw eigendom zijn of waarvoor u geen uitdrukkelijke toestemming hebt om ermee te werken.
Het uitvoeren van activiteiten die opzettelijk de operationele integriteit van onze producten en gerelateerde diensten of systemen verstoren, aantasten of bedreigen.
Het openbaar maken van geïdentificeerde kwetsbaarheden voordat wij deze hebben opgelost.
Het gebruik van enige vorm van social engineering, phishingaanvallen of misleidende praktijken tegen onze medewerkers, gebruikers of infrastructuur.
Het uitvoeren van fysieke veiligheidsaanvallen op de activa van Sonova.

Kwetsbaarheden die buiten het bereik van dit programma vallen

Dit programma voor het melden van kwetsbaarheden is gericht op kwetsbaarheden met betrekking tot Sonova-producten, de onderliggende infrastructuur en aanverwante diensten. Kwetsbaarheden op onze website of openbare infrastructuur vallen momenteel dus niet onder dit programma.

Om een efficiënte toewijzing van middelen mogelijk te maken en ons te kunnen concentreren op het verminderen van kwetsbaarheden met een aanzienlijke impact, definiëren we de volgende categorieën als buiten het bereik van dit programma voor het melden van kwetsbaarheden. Het melden hiervan leidt mogelijk niet tot erkenning of herstelmaatregelen:

Inzendingen die het resultaat zijn van geautomatiseerde scantools of geautomatiseerde analyse.
Opmerkingen over zwakke SSL/TLS-cryptografische algoritmen en kwetsbaarheden in TLS-configuraties, tenzij er een daadwerkelijk, exploiteerbaar risico kan worden aangetoond dat specifiek is voor onze omgeving.
Het ontbreken van aanbevolen beveiligingsmaatregelen, het gebruik van bibliotheken die bekend staan om hun kwetsbaarheden, of gedetailleerde foutmeldingen, tenzij deze duidelijke, aantoonbare manieren voor misbruik bevatten.

Juridische verklaring / Safe Harbour

Bij Sonova waarderen we de bijdragen van beveiligingsonderzoekers en erkennen we het belang van hun inspanningen om de beveiliging van onze producten te verbeteren.

Als u zich houdt aan de richtlijnen van ons beleid inzake het melden van kwetsbaarheden, worden uw acties als geautoriseerd beschouwd en zullen wij geen juridische stappen tegen u ondernemen. Hoewel wij verantwoord beveiligingsonderzoek ondersteunen, dient u er rekening mee te houden dat naleving van dit beleid u niet ontslaat van de verplichting om alle toepasselijke lokale wetgeving na te leven. Als een derde partij juridische stappen onderneemt met betrekking tot uw activiteiten in het kader van dit beleid, houd er dan rekening mee dat wij weliswaar streven naar verduidelijking van de aard van uw naleving van ons beleid, maar dat wij u niet juridisch kunnen vertegenwoordigen of namens u kunnen optreden.