Introdução

Na Sonova, estamos empenhados em garantir a segurança e a resiliência dos nossos produtos e serviços relacionados. Compreendemos que, apesar dos nossos esforços, podem ocorrer vulnerabilidades. Encorajamos todos a reportar suspeitas de vulnerabilidades ou preocupações de segurança relacionadas com os nossos produtos ou o respetivo software ou infraestrutura subjacente. Isto inclui investigadores de segurança, clientes e consumidores finais, CERT (Computer Emergency Response Teams), grupos da indústria, parceiros e todos os outros intervenientes.

Antes de submeteres um relatório, lê esta política na íntegra e certifica-te de que as tuas ações estão alinhadas com as suas diretrizes.

Reportar uma Vulnerabilidade

Pedimos a qualquer pessoa que acredite ter descoberto uma potencial vulnerabilidade de segurança nos nossos produtos ou serviços relacionados que a reporte o mais rapidamente possível através da nossa organização de apoio ao cliente.

Ao submeteres um relatório, segue estas diretrizes:

  • Fornece informações detalhadas sobre a potencial vulnerabilidade, incluindo uma descrição clara e os passos para reproduzir a descoberta. Encontrarás um modelo para reportar a tua descoberta no Anexo.
  • Evita quaisquer ações que possam prejudicar a confidencialidade, integridade, disponibilidade ou segurança dos nossos produtos e serviços ou dados. Abstém-te de causar qualquer dano material, alterar dados, abusar de escalada de privilégios ou descarregar mais dados do que o necessário para demonstrar a vulnerabilidade.
  • Mantém a confidencialidade das tuas descobertas até concluirmos a nossa investigação e implementarmos as medidas necessárias. Isto ajuda a proteger os nossos utilizadores e garante o tratamento responsável de questões de segurança.
  • Informa-nos previamente sobre a tua intenção de divulgar publicamente a vulnerabilidade.
  • Fornece os teus dados de contacto, como um endereço de e-mail ou número de telefone, para que possamos entrar em contacto contigo para investigação adicional.

O Nosso Compromisso

Ao receber um relatório de vulnerabilidade de segurança, a Sonova compromete-se ao seguinte:

  • Confirmaremos a receção do teu relatório, assegurando que a tua submissão foi recebida e está a ser processada.
  • A nossa equipa dedicada de segurança realizará uma investigação minuciosa da vulnerabilidade reportada. Poderemos contactar-te para obter informações adicionais ou esclarecimentos, de modo a garantir uma compreensão completa da vulnerabilidade.
  • Priorizamos a resolução de vulnerabilidades reportadas com base na sua gravidade e complexidade. A nossa equipa está empenhada em tomar as medidas necessárias para resolver e mitigar os riscos de forma rápida e eficaz.
  • Manteremos uma comunicação aberta e transparente contigo ao longo de todo o processo. Serás informado do nosso progresso na investigação e resolução do problema, com atualizações regulares fornecidas nas fases-chave.

Exclusões

Embora incentivemos o reporte de quaisquer vulnerabilidades de segurança encontradas, é importante notar que as seguintes ações são estritamente proibidas:

  • Usar varreduras automáticas invasivas ou disruptivas contra a nossa infraestrutura.
  • Aceder, descarregar, modificar ou interferir de qualquer forma com dados em contas ou sistemas que não te pertencem ou para os quais não tens permissão explícita de interagir.
  • Realizar atividades que intencionalmente perturbem, degradem ou ameacem a integridade operacional dos nossos produtos e serviços ou sistemas relacionados.
  • Divulgar publicamente vulnerabilidades identificadas antes da nossa resolução.
  • Envolver-te em qualquer forma de engenharia social, ataques de phishing ou práticas enganosas contra os nossos colaboradores, utilizadores ou infraestrutura.
  • Realizar ataques de segurança física aos ativos da Sonova.

Vulnerabilidades fora do âmbito deste programa

Este programa de divulgação de vulnerabilidades centra-se em vulnerabilidades relacionadas com os produtos Sonova, a sua infraestrutura subjacente e serviços relacionados. Como tal, as vulnerabilidades no nosso website ou infraestrutura de acesso público não estão atualmente incluídas no âmbito deste programa.

Para permitir uma alocação eficiente de recursos e concentrar esforços na mitigação de vulnerabilidades com impacto significativo, definimos as seguintes categorias como fora do âmbito deste programa de divulgação de vulnerabilidades. O reporte destas poderá não resultar em reconhecimento ou ações de correção:

  • Submissões resultantes de ferramentas de varredura automática ou análise automatizada.
  • Observações relativas a algoritmos criptográficos SSL/TLS fracos e vulnerabilidades em configurações TLS, a menos que seja demonstrado um risco explorável real específico do nosso ambiente.
  • Ausência de medidas de segurança recomendadas, implementação de bibliotecas conhecidas por vulnerabilidades ou mensagens de erro detalhadas, a menos que estas incluam caminhos claros e demonstráveis para exploração.

Declaração Legal / Safe Harbour

Na Sonova, valorizamos as contribuições dos investigadores de segurança e reconhecemos a importância dos seus esforços para melhorar a segurança dos nossos produtos.

Se cumprires as diretrizes da nossa política de divulgação de vulnerabilidades, as tuas ações serão consideradas autorizadas e não iniciaremos ações legais contra ti. Embora apoiemos a investigação responsável em segurança, nota que a tua adesão a esta política não te isenta de cumprir quaisquer leis locais aplicáveis. Se uma ação legal for iniciada por terceiros relativamente às tuas atividades ao abrigo desta política, fica ciente de que, embora pretendamos esclarecer a natureza do teu cumprimento da nossa política, não podemos assumir representação legal ou intervenção direta em teu nome.

Contacta-nos

Para quaisquer questões ou submissões relativas a vulnerabilidades de segurança, contacta o nosso serviço de apoio ao cliente https://eu.sennheiser-hearing.com/pages/contact/.