Política de Divulgação Coordenada de Vulnerabilidades

Introdução

Na Sonova, estamos empenhados em garantir a segurança e a resiliência dos nossos produtos e serviços relacionados. Sabemos que, apesar dos nossos esforços, podem ocorrer vulnerabilidades. Todos são incentivados a comunicar suspeitas de vulnerabilidades ou preocupações de segurança relacionadas com os nossos produtos ou com o software ou infraestrutura subjacentes. Isso inclui investigadores de segurança, clientes e consumidores finais, CERTs (Equipas de Resposta a Emergências Informáticas), grupos industriais, parceiros e todas as outras partes interessadas.

Antes de enviar um relatório, dá uma olhada nessa política e vê se tá tudo certo com as regras.

Relatar uma vulnerabilidade

Pedimos a quem achar que encontrou uma possível falha de segurança nos nossos produtos ou serviços relacionados que nos avise o mais rápido possível através do nosso serviço de atendimento ao cliente.

Quando mandares um relatório, segue estas orientações:

• Dá informações detalhadas sobre a vulnerabilidade potencial, incluindo uma descrição clara e os passos para reproduzir a descoberta. Encontra um modelo para reportar a tua descoberta no Anexo.
• Evite qualquer ação que possa prejudicar a confidencialidade, integridade, disponibilidade ou segurança dos nossos produtos, serviços ou dados. Por favor, não cause danos materiais, altere dados, abuse da escalação de privilégios ou baixe mais dados do que o necessário para demonstrar a vulnerabilidade.
• Mantenha a confidencialidade das suas descobertas até que tenhamos concluído a nossa investigação e implementado as medidas necessárias. Isso ajuda a proteger os nossos utilizadores e garante o tratamento responsável das questões de segurança.
• Por favor, avisa-nos com antecedência se quiseres divulgar publicamente a vulnerabilidade.
• Por favor, forneça os seus dados de contacto, como endereço de e-mail ou número de telefone, para que possamos entrar em contacto consigo para uma investigação mais aprofundada.

O nosso compromisso

Quando a Sonova recebe uma notificação sobre uma falha de segurança, ela se compromete a fazer o seguinte:

• Vamos confirmar que recebemos a tua denúncia, dizendo que ela foi recebida e está a ser processada.
• A nossa equipa de segurança vai dar uma olhadela completa na vulnerabilidade que foi reportada. Podemos entrar em contacto contigo para mais informações ou esclarecimentos, só para garantir que entendemos tudo sobre a vulnerabilidade.
• A gente prioriza a resolução das vulnerabilidades relatadas com base na gravidade e complexidade delas. A nossa equipa está comprometida em tomar as medidas necessárias para resolver e mitigar os riscos de forma rápida e eficaz.
• Vamos manter uma comunicação aberta e transparente contigo durante todo o processo. Vais ser informado sobre o nosso progresso na investigação e resolução do problema, com atualizações regulares fornecidas nas etapas principais.

Exclusões

Embora incentivemos a comunicação de quaisquer vulnerabilidades de segurança encontradas, tenha em atenção que as seguintes ações são estritamente proibidas:

• Usar varreduras automatizadas invasivas ou perturbadoras contra a nossa infraestrutura.
• Acessar, baixar, modificar ou interferir de qualquer outra forma nos dados de contas ou sistemas que não são seus ou para os quais não tem permissão explícita para interagir.
• Fazer coisas que bagunçam, estragam ou ameaçam a integridade operacional dos nossos produtos e serviços ou sistemas relacionados.
• Divulgar publicamente uma vulnerabilidade identificada antes de a gente resolver o problema.
• Envolver-se em qualquer tipo de engenharia social, ataques de phishing ou práticas enganosas contra os nossos funcionários, utilizadores ou infraestrutura.
• Fazer ataques físicos de segurança aos bens da Sonova.

Vulnerabilidades fora do âmbito deste programa

Esse programa de divulgação de vulnerabilidades foca em vulnerabilidades relacionadas aos produtos da Sonova, sua infraestrutura e serviços relacionados. Por isso, vulnerabilidades no nosso site ou infraestrutura pública não estão dentro do escopo desse programa no momento.

Para permitir uma alocação eficiente de recursos e focar na mitigação de vulnerabilidades com impacto significativo, definimos as seguintes categorias como fora do âmbito deste programa de divulgação de vulnerabilidades. A comunicação destas vulnerabilidades pode não resultar em reconhecimento ou ações de correção:

• Submissões que vêm de ferramentas de digitalização automática ou análise automática.
• Observações sobre algoritmos criptográficos SSL/TLS fracos e vulnerabilidades nas configurações TLS, a menos que um risco real e explorável específico do nosso ambiente possa ser demonstrado.
• Ausência das medidas de segurança recomendadas, implementação de bibliotecas conhecidas por suas vulnerabilidades ou mensagens de erro detalhadas, a menos que estas incluam caminhos claros e demonstráveis para exploração.

Declaração legal / Porto seguro

Na Sonova, valorizamos as contribuições dos investigadores de segurança e reconhecemos a importância dos seus esforços para melhorar a segurança dos nossos produtos.

Se tu seguires as diretrizes da nossa política de divulgação de vulnerabilidades, as tuas ações serão consideradas autorizadas e não tomaremos medidas legais contra ti. Embora apoiemos pesquisas de segurança responsáveis, lembra-te de que seguir essa política não te isenta de cumprir as leis locais aplicáveis. Se uma ação legal for iniciada por terceiros relacionada às tuas atividades sob esta política, esteja ciente de que, embora nosso objetivo seja esclarecer a natureza da tua conformidade com a nossa política, não podemos nos envolver em representação legal ou intervenção direta em teu nome.

Fale com a gente

Se tiveres alguma dúvida ou quiseres enviar informações sobre vulnerabilidades de segurança, entra em contacto com o nosso serviço de apoio ao cliente pelo e-mail https://eu.sennheiser-hearing.com/pages/contact/.