Inledning

Hos Sonova är vi engagerade i att säkerställa säkerheten och motståndskraften hos våra produkter och relaterade tjänster. Vi förstår att sårbarheter kan uppstå trots våra ansträngningar. Alla uppmuntras att rapportera misstänkta sårbarheter eller säkerhetsproblem relaterade till våra produkter eller deras underliggande programvara eller infrastruktur. Detta inkluderar säkerhetsforskare, kunder och slutanvändare, CERTs (Computer Emergency Response Teams), branschgrupper, partners och alla andra intressenter.

Innan du skickar in en rapport, läs igenom denna policy noggrant och se till att dina åtgärder överensstämmer med riktlinjerna.

Rapportera en sårbarhet

Vi ber vänligen alla som anser sig ha upptäckt en potentiell säkerhetsbrist i våra produkter eller relaterade tjänster att rapportera detta till oss så snart som möjligt via vår kundtjänst.

När du skickar in en rapport, följ dessa riktlinjer:

  • Vänligen tillhandahåll detaljerad information om den potentiella sårbarheten, inklusive en tydlig beskrivning och steg för att återskapa fyndet. En mall för att rapportera ditt fynd finns i bilagan.
  • Undvik alla åtgärder som kan skada konfidentialiteten, integriteten, tillgängligheten eller säkerheten för våra produkter och tjänster eller data. Vänligen avstå från att orsaka materiell skada, ändra data, missbruka privilegieeskalering eller ladda ner mer data än vad som är nödvändigt för att demonstrera sårbarheten.
  • Bibehåll konfidentialiteten för dina fynd tills vi har slutfört vår utredning och implementerat nödvändiga åtgärder. Detta hjälper till att skydda våra användare och säkerställer en ansvarsfull hantering av säkerhetsproblem.
  • Vänligen informera oss i förväg om din avsikt att offentliggöra sårbarheten.
  • Vänligen ange dina kontaktuppgifter, såsom e-postadress eller telefonnummer, så att vi kan kontakta dig för vidare utredning.

Vårt åtagande

När Sonova får en rapport om en säkerhetsbrist åtar sig företaget att göra följande:

  • Vi bekräftar mottagandet av din anmälan och att din anmälan har mottagits och behandlas.
  • Vårt dedikerade säkerhetsteam kommer att genomföra en grundlig utredning av den rapporterade sårbarheten. Vi kan komma att kontakta dig för ytterligare information eller förtydligande för att säkerställa en heltäckande förståelse av sårbarheten.
  • Vi prioriterar lösningen av rapporterade sårbarheter baserat på deras allvarlighetsgrad och komplexitet. Vårt team är engagerat i att vidta nödvändiga åtgärder för att snabbt och effektivt hantera och mildra risker.
  • Vi kommer att upprätthålla en öppen och transparent kommunikation med dig under hela processen. Du kommer att hållas informerad om våra framsteg i utredningen och lösningen av ärendet, med regelbundna uppdateringar i viktiga skeden.

Undantag

Även om vi uppmuntrar rapportering av alla upptäckta säkerhetsbrister, observera att följande åtgärder är strängt förbjudna:

  • Använda invasiv eller störande automatiserad skanning mot vår infrastruktur.
  • Att komma åt, ladda ner, ändra eller på annat sätt manipulera data i konton eller system som du inte äger eller har uttryckligt tillstånd att interagera med.
  • Utföra aktiviteter som avsiktligt stör, försämrar eller hotar den operativa integriteten hos våra produkter och relaterade tjänster eller system.
  • Offentliggörande av identifierad sårbarhet innan vi har löst den.
  • Att ägna sig åt någon form av social ingenjörskonst, nätfiskeattacker eller bedrägliga metoder mot våra anställda, användare eller infrastruktur.
  • Genomföra fysiska säkerhetsattacker mot Sonovas tillgångar.

Sårbarheter som ligger utanför programmets omfattning

Detta program för rapportering av sårbarheter fokuserar på sårbarheter relaterade till Sonovas produkter, deras underliggande infrastruktur och relaterade tjänster. Som sådana ligger sårbarheter på vår webbplats eller offentligt tillgänglig infrastruktur för närvarande utanför detta programs omfattning.

För att möjliggöra effektiv resursallokering och fokusera på att mildra sårbarheter med betydande påverkan, definierar vi följande kategorier som utanför ramen för detta program för sårbarhetsrapportering. Rapportering av dessa kanske inte resulterar i bekräftelse eller åtgärder för avhjälpande:

  • Inlämningar som härrör från automatiska skanningsverktyg eller automatisk analys.
  • Observationer gällande svaga SSL/TLS-kryptografiska algoritmer och sårbarheter i TLS-konfigurationer, såvida inte en faktisk, utnyttningsbar risk specifik för vår miljö kan påvisas.
  • Frånvaro av rekommenderade säkerhetsåtgärder, implementering av bibliotek kända för sårbarheter, eller detaljerade felmeddelanden, om inte dessa inkluderar tydliga, påvisbara vägar för utnyttjande.

Juridisk information / Safe Harbour

På Sonova värdesätter vi säkerhetsforskares bidrag och erkänner vikten av deras ansträngningar för att förbättra säkerheten i våra produkter.

Om du följer riktlinjerna i vår policy för sårbarhetsrapportering kommer dina handlingar att betraktas som auktoriserade, och vi kommer inte att vidta rättsliga åtgärder mot dig. Även om vi stöder ansvarsfull säkerhetsforskning, observera att din efterlevnad av denna policy inte befriar dig från att följa tillämpliga lokala lagar. Om rättsliga åtgärder initieras av en tredje part relaterade till dina aktiviteter under denna policy, var medveten om att även om vi strävar efter att klargöra arten av din efterlevnad av vår policy, kan vi inte engagera oss i juridisk representation eller direkt intervention å dina vägnar.

Kontakta oss

För frågor eller inlämningar gällande säkerhetsbrister, vänligen kontakta vår kundtjänst https://eu.sennheiser-hearing.com/pages/contact/.