Inledning

På Sonova är vi fast beslutna att säkerställa säkerheten och motståndskraften hos våra produkter och tillhörande tjänster. Vi är medvetna om att sårbarheter kan uppstå trots våra ansträngningar. Vi uppmuntrar alla att rapportera misstänkta sårbarheter eller säkerhetsproblem som rör våra produkter eller den underliggande programvaran och infrastrukturen. Detta gäller säkerhetsforskare, kunder och slutanvändare, CERT-team (Computer Emergency Response Teams), branschorganisationer, samarbetspartner och alla andra intressenter.

Innan du skickar in en rapport bör du läsa igenom denna policy noggrant och se till att dina handlingar följer riktlinjerna i den.

Rapportera en sårbarhet

Vi ber alla som tror sig ha upptäckt en potentiell säkerhetsbrist i våra produkter eller tillhörande tjänster att så snart som möjligt anmäla detta till oss via vår kundtjänst.

När du skickar in en rapport, följ dessa riktlinjer:

  • Lämna detaljerad information om den potentiella sårbarheten, inklusive en tydlig beskrivning och steg för att återskapa felet. I bilagan finns en mall som du kan använda för att rapportera ditt fynd.
  • Undvik alla handlingar som kan äventyra konfidentialiteten, integriteten, tillgängligheten eller säkerheten för våra produkter, tjänster eller data. Undvik att orsaka väsentlig skada, ändra data, missbruka behörighetsutvidgning eller ladda ner mer data än vad som är nödvändigt för att påvisa sårbarheten.
  • Håll dina upptäckter konfidentiella tills vi har slutfört vår utredning och vidtagit nödvändiga åtgärder. Detta bidrar till att skydda våra användare och säkerställer en ansvarsfull hantering av säkerhetsfrågor.
  • Vänligen meddela oss i förväg om du har för avsikt att offentliggöra sårbarheten.
  • Vänligen ange dina kontaktuppgifter, till exempel e-postadress eller telefonnummer, så att vi kan kontakta dig för vidare utredning.

Vårt åtagande

När Sonova får in en anmälan om en säkerhetsbrist åtar sig företaget att göra följande:

  • Vi kommer att bekräfta mottagandet av din anmälan och meddela att den har tagits emot och behandlas.
  • Vårt specialiserade säkerhetsteam kommer att genomföra en grundlig utredning av den rapporterade sårbarheten. Vi kan komma att kontakta dig för ytterligare information eller förtydliganden för att säkerställa att vi får en fullständig förståelse av sårbarheten.
  • Vi prioriterar åtgärdandet av rapporterade sårbarheter utifrån deras allvarlighetsgrad och komplexitet. Vårt team är fast beslutet att vidta nödvändiga åtgärder för att hantera och minska riskerna snabbt och effektivt.
  • Vi kommer att upprätthålla en öppen och transparent kommunikation med dig under hela processen. Du kommer att hållas informerad om hur arbetet med att utreda och lösa ärendet fortskrider, och vi kommer att ge regelbundna uppdateringar vid viktiga milstolpar.

Undantag

Vi uppmuntrar visserligen rapportering av alla säkerhetsbrister som upptäcks, men observera att följande handlingar är strängt förbjudna:

  • Att använda invasiv eller störande automatiserad skanning mot vår infrastruktur.
  • Att få tillgång till, ladda ner, ändra eller på annat sätt ingripa i data i konton eller system som du inte äger eller har uttryckligt tillstånd att hantera.
  • Att utföra handlingar som avsiktligt stör, försämrar eller hotar driftsäkerheten hos våra produkter och tillhörande tjänster eller system.
  • Att offentliggöra identifierade sårbarheter innan vi har åtgärdat dem.
  • Att ägna sig åt någon form av social manipulation, nätfiske eller bedrägliga metoder riktade mot våra anställda, användare eller infrastruktur.
  • Genomföra fysiska säkerhetsattacker mot Sonovas tillgångar.

Sårbarheter som inte omfattas av detta program

Detta program för rapportering av säkerhetsbrister är inriktat på säkerhetsbrister som rör Sonovas produkter, den underliggande infrastrukturen och tillhörande tjänster. Säkerhetsbrister på vår webbplats eller i vår offentliga infrastruktur omfattas därför för närvarande inte av detta program.

För att möjliggöra en effektiv resursfördelning och fokusera på att åtgärda sårbarheter med betydande konsekvenser har vi fastställt att följande kategorier inte omfattas av detta program för rapportering av sårbarheter. Rapportering av dessa kommer inte nödvändigtvis att leda till bekräftelse eller åtgärder:

  • Inlämningar som härrör från automatiska skanningsverktyg eller automatiserad analys.
  • Synpunkter rörande svaga SSL/TLS-krypteringsalgoritmer och sårbarheter i TLS-konfigurationer, såvida inte en faktisk, utnyttjbar risk som är specifik för vår miljö kan påvisas.
  • Avsaknad av rekommenderade säkerhetsåtgärder, användning av bibliotek som är kända för sina sårbarheter eller detaljerade felmeddelanden, såvida dessa inte innehåller tydliga och påvisbara vägar för utnyttjande.

Rättsligt meddelande / Safe Harbour

På Sonova värdesätter vi säkerhetsforskarnas insatser och inser vikten av deras arbete för att förbättra säkerheten i våra produkter.

Om du följer riktlinjerna i vår policy för rapportering av sårbarheter kommer dina handlingar att betraktas som godkända, och vi kommer inte att vidta rättsliga åtgärder mot dig. Vi stöder visserligen ansvarsfull säkerhetsforskning, men observera att din efterlevnad av denna policy inte befriar dig från skyldigheten att följa gällande lokal lagstiftning. Om rättsliga åtgärder vidtas av en tredje part i samband med dina aktiviteter enligt denna policy, bör du vara medveten om att även om vi strävar efter att klargöra huruvida du har följt vår policy, kan vi inte företräda dig juridiskt eller ingripa direkt på dina vägnar.

Kontakta oss

Om du har frågor eller vill rapportera säkerhetsbrister, vänligen kontakta vår kundtjänst på https://eu.sennheiser-hearing.com/pages/contact/.