Política de Divulgação Coordenada de Vulnerabilidades

Introdução

Na Sonova, estamos empenhados em garantir a segurança e a resiliência dos nossos produtos e serviços relacionados. Compreendemos que, apesar dos nossos esforços, podem surgir vulnerabilidades. Encorajamos toda a gente a comunicar suspeitas de vulnerabilidades ou preocupações de segurança relacionadas com os nossos produtos, o software subjacente ou a infraestrutura. Isto inclui investigadores de segurança, clientes e consumidores finais, CERTs (Equipas de Resposta a Emergências Informáticas), grupos do setor, parceiros e todas as outras partes interessadas.

Antes de enviar uma denúncia, lê esta política com atenção e certifica-te de que as tuas ações estão de acordo com as suas diretrizes.

Como comunicar uma vulnerabilidade

Pedimos a quem achar que descobriu uma possível falha de segurança nos nossos produtos ou serviços relacionados que nos comunique o mais rapidamente possível através do nosso serviço de apoio ao cliente.

Ao enviar um relatório, segue estas orientações:

• Fornece informações detalhadas sobre a potencial vulnerabilidade, incluindo uma descrição clara e os passos para reproduzir a descoberta. Encontras no anexo um modelo para comunicares a tua descoberta.
• Evita qualquer ação que possa comprometer a confidencialidade, a integridade, a disponibilidade ou a segurança dos nossos produtos, serviços ou dados. Por favor, evita causar danos materiais, alterar dados, abusar da escalada de privilégios ou descarregar mais dados do que o necessário para demonstrar a vulnerabilidade.
• Mantém a confidencialidade das tuas descobertas até concluirmos a nossa investigação e implementarmos as medidas necessárias. Isso ajuda a proteger os nossos utilizadores e garante um tratamento responsável das questões de segurança.
• Por favor, avisa-nos com antecedência se tencionas divulgar publicamente a vulnerabilidade.
• Por favor, fornece os teus dados de contacto, como um endereço de e-mail ou um número de telefone, para que possamos entrar em contacto contigo para aprofundar a investigação.

O nosso compromisso

Ao receber uma notificação sobre uma vulnerabilidade de segurança, a Sonova compromete-se a:

• Vamos confirmar a receção do teu relatório, informando que o envio foi recebido e está a ser processado.
• A nossa equipa de segurança especializada irá realizar uma investigação aprofundada da vulnerabilidade que nos foi comunicada. Poderemos entrar em contacto contigo para obter mais informações ou esclarecimentos, de modo a garantir uma compreensão completa da vulnerabilidade.
• Damos prioridade à resolução das vulnerabilidades comunicadas com base na sua gravidade e complexidade. A nossa equipa está empenhada em tomar as medidas necessárias para resolver e mitigar os riscos de forma rápida e eficaz.
• Manteremos uma comunicação aberta e transparente contigo ao longo de todo o processo. Manter-te-emos informado sobre o andamento da nossa investigação e da resolução do problema, com atualizações regulares nas fases mais importantes.

Exclusões

Embora encorajemos a comunicação de quaisquer vulnerabilidades de segurança encontradas, lembra-te de que as seguintes ações são estritamente proibidas:

• Utilizar varreduras automatizadas invasivas ou perturbadoras contra a nossa infraestrutura.
• Aceder, descarregar, alterar ou interferir de qualquer outra forma com dados em contas ou sistemas que não te pertençam ou para os quais não tenhas autorização explícita para interagir.
• Realizar atividades que, de forma intencional, perturbem, prejudiquem ou ameacem a integridade operacional dos nossos produtos e serviços ou sistemas relacionados.
• Divulgar publicamente uma vulnerabilidade identificada antes de a resolvermos.
• Envolver-se em qualquer forma de engenharia social, ataques de phishing ou práticas enganosas contra os nossos colaboradores, utilizadores ou infraestruturas.
• Realizar ataques à segurança física dos ativos da Sonova.

Vulnerabilidades que não estão abrangidas por este programa

Este programa de divulgação de vulnerabilidades centra-se nas vulnerabilidades relacionadas com os produtos da Sonova, a sua infraestrutura subjacente e os serviços associados. Como tal, as vulnerabilidades no nosso site ou na infraestrutura acessível ao público não estão, de momento, abrangidas por este programa.

Para permitir uma alocação eficiente de recursos e concentrar-nos na mitigação de vulnerabilidades com impacto significativo, definimos as seguintes categorias como excluídas do âmbito deste programa de divulgação de vulnerabilidades. A comunicação destas vulnerabilidades poderá não resultar em reconhecimento ou em ações de correção:

• Envios resultantes de ferramentas de digitalização automática ou de análises automáticas.
• Observações relativas a algoritmos criptográficos SSL/TLS fracos e vulnerabilidades nas configurações TLS, a menos que se consiga demonstrar um risco real e explorável específico do nosso ambiente.
• A ausência de medidas de segurança recomendadas, a utilização de bibliotecas conhecidas pelas suas vulnerabilidades ou a falta de mensagens de erro detalhadas, a menos que estas incluam vias claras e comprováveis para a exploração.

Declaração Legal / Safe Harbour

Na Sonova, valorizamos as contribuições dos investigadores de segurança e reconhecemos a importância dos seus esforços para melhorar a segurança dos nossos produtos.

Se cumprires as diretrizes da nossa política de divulgação de vulnerabilidades, as tuas ações serão consideradas autorizadas e não tomaremos medidas legais contra ti. Embora apoiemos a investigação responsável em matéria de segurança, tem em atenção que o cumprimento desta política não te isenta de cumprir quaisquer leis locais aplicáveis. Se forem iniciadas ações judiciais por terceiros relacionadas com as tuas atividades ao abrigo desta política, tem em conta que, embora o nosso objetivo seja esclarecer a natureza da tua conformidade com a nossa política, não podemos assumir a tua representação legal nem intervir diretamente em teu nome.

Contacta-nos

Se tiveres alguma dúvida ou quiseres comunicar alguma vulnerabilidade de segurança, entra em contacto com o nosso serviço de apoio ao cliente através do e-mail https://eu.sennheiser-hearing.com/pages/contact/.