Política de Divulgação Coordenada de Vulnerabilidades

Introdução

Na Sonova, estamos empenhados em garantir a segurança e a resiliência dos nossos produtos e serviços relacionados. Compreendemos que, apesar dos nossos esforços, podem ocorrer vulnerabilidades. Todos são encorajados a comunicar suspeitas de vulnerabilidades ou preocupações de segurança relacionadas com os nossos produtos ou com o software ou infraestrutura subjacentes. Isto inclui investigadores de segurança, clientes e consumidores finais, CERTs (Equipas de Resposta a Emergências Informáticas), grupos industriais, parceiros e todas as outras partes interessadas.

Antes de enviar um relatório, leia esta política cuidadosamente e certifique-se de que as suas ações estão em conformidade com as diretrizes.

Relatar uma vulnerabilidade

Solicitamos a todos aqueles que acreditam ter descoberto uma potencial vulnerabilidade de segurança nos nossos produtos ou serviços relacionados que nos informem o mais rapidamente possível através do nosso serviço de apoio ao cliente.

Ao enviar um relatório, siga estas orientações:

• Forneça informações detalhadas sobre a vulnerabilidade potencial, incluindo uma descrição clara e os passos para reproduzir a descoberta. Encontre um modelo para relatar a sua descoberta no Anexo.
• Evite quaisquer ações que possam prejudicar a confidencialidade, integridade, disponibilidade ou segurança dos nossos produtos, serviços ou dados. Por favor, evite causar danos materiais, alterar dados, abusar da escalação de privilégios ou descarregar mais dados do que o necessário para demonstrar a vulnerabilidade.
• Mantenha a confidencialidade das suas descobertas até que tenhamos concluído a nossa investigação e implementado as medidas necessárias. Isso ajuda a proteger os nossos utilizadores e garante o tratamento responsável das questões de segurança.
• Por favor, informe-nos com antecedência sobre a sua intenção de divulgar publicamente a vulnerabilidade.
• Forneça os seus dados de contacto, como endereço de e-mail ou número de telefone, para que possamos entrar em contacto consigo para uma investigação mais aprofundada.

O nosso compromisso

Ao receber uma notificação sobre uma vulnerabilidade de segurança, a Sonova compromete-se a fazer o seguinte:

• Confirmaremos o recebimento da sua denúncia, confirmando que a sua submissão foi recebida e está a ser processada.
• A nossa equipa de segurança dedicada conduzirá uma investigação completa da vulnerabilidade relatada. Podemos entrar em contacto consigo para obter mais informações ou esclarecimentos, a fim de garantir uma compreensão abrangente da vulnerabilidade.
• Priorizamos a resolução das vulnerabilidades relatadas com base na sua gravidade e complexidade. A nossa equipa está empenhada em tomar as medidas necessárias para abordar e mitigar os riscos de forma rápida e eficaz.
• Manteremos uma comunicação aberta e transparente consigo durante todo o processo. Será mantido informado sobre o nosso progresso na investigação e resolução da questão, com atualizações regulares fornecidas nas etapas principais.

Exclusões

Embora incentivemos a comunicação de quaisquer vulnerabilidades de segurança encontradas, tenha em atenção que as seguintes ações são estritamente proibidas:

• Utilizar varreduras automatizadas invasivas ou perturbadoras contra a nossa infraestrutura.
• Acessar, descarregar, modificar ou interferir de qualquer outra forma nos dados de contas ou sistemas que não lhe pertencem ou para os quais não tem permissão explícita para interagir.
• Realizar atividades que intencionalmente perturbem, prejudiquem ou ameacem a integridade operacional dos nossos produtos e serviços ou sistemas relacionados.
• Divulgar publicamente a vulnerabilidade identificada antes da nossa resolução.
• Envolver-se em qualquer forma de engenharia social, ataques de phishing ou práticas enganosas contra os nossos funcionários, utilizadores ou infraestrutura.
• Realizar ataques físicos à segurança dos ativos da Sonova.

Vulnerabilidades fora do âmbito deste programa

Este programa de divulgação de vulnerabilidades concentra-se em vulnerabilidades relacionadas com os produtos Sonova, a sua infraestrutura subjacente e serviços relacionados. Como tal, as vulnerabilidades no nosso website ou infraestrutura pública não estão atualmente abrangidas por este programa.

Para permitir uma alocação eficiente de recursos e focar na mitigação de vulnerabilidades com impacto significativo, definimos as seguintes categorias como fora do âmbito deste programa de divulgação de vulnerabilidades. A comunicação destas vulnerabilidades pode não resultar em reconhecimento ou ações de correção:

• Envios resultantes de ferramentas de digitalização automatizadas ou análises automatizadas.
• Observações relativas a algoritmos criptográficos SSL/TLS fracos e vulnerabilidades nas configurações TLS, a menos que seja possível demonstrar um risco real e explorável específico ao nosso ambiente.
• Ausência de medidas de segurança recomendadas, implementação de bibliotecas conhecidas por vulnerabilidades ou mensagens de erro detalhadas, a menos que estas incluam caminhos claros e demonstráveis para exploração.

Declaração legal / Porto seguro

Na Sonova, valorizamos as contribuições dos investigadores de segurança e reconhecemos a importância dos seus esforços para melhorar a segurança dos nossos produtos.

Se cumprir as diretrizes da nossa política de divulgação de vulnerabilidades, as suas ações serão consideradas autorizadas e não tomaremos medidas legais contra si. Embora apoiemos a investigação responsável em matéria de segurança, tenha em atenção que o cumprimento desta política não o isenta de cumprir quaisquer leis locais aplicáveis. Se uma ação judicial for iniciada por terceiros em relação às suas atividades sob esta política, esteja ciente de que, embora nosso objetivo seja esclarecer a natureza da sua conformidade com a nossa política, não podemos nos envolver em representação legal ou intervenção direta em seu nome.

Entre em contacto connosco

Para quaisquer perguntas ou envios relacionados com vulnerabilidades de segurança, entre em contacto com o nosso serviço de apoio ao cliente https://eu.sennheiser-hearing.com/pages/contact/.