Inledning

På Sonova är vi fast beslutna att säkerställa säkerheten och motståndskraften hos våra produkter och relaterade tjänster. Vi är medvetna om att sårbarheter kan uppstå trots våra ansträngningar. Alla uppmanas att rapportera misstänkta sårbarheter eller säkerhetsproblem relaterade till våra produkter eller deras underliggande programvara eller infrastruktur. Detta inkluderar säkerhetsforskare, kunder och slutkonsumenter, CERT (Computer Emergency Response Teams), branschgrupper, partners och alla andra intressenter.

Innan du skickar in en rapport, läs igenom denna policy noggrant och se till att dina åtgärder överensstämmer med riktlinjerna.

Rapportera en sårbarhet

Vi ber alla som tror sig ha upptäckt en potentiell säkerhetsbrist i våra produkter eller relaterade tjänster att rapportera detta till oss så snart som möjligt via vår kundtjänst.

När du skickar in en rapport, följ dessa riktlinjer:

  • Ge detaljerad information om den potentiella sårbarheten, inklusive en tydlig beskrivning och steg för att reproducera upptäckten. I bilagan finns en mall för att rapportera din upptäckt.
  • Undvik alla åtgärder som kan skada konfidentialiteten, integriteten, tillgängligheten eller säkerheten för våra produkter, tjänster eller data. Undvik att orsaka materiell skada, ändra data, missbruka privilegieeskalering eller ladda ner mer data än vad som är nödvändigt för att påvisa sårbarheten.
  • Håll dina upptäckter konfidentiella tills vi har slutfört vår utredning och vidtagit nödvändiga åtgärder. Detta bidrar till att skydda våra användare och säkerställer en ansvarsfull hantering av säkerhetsfrågor.
  • Vänligen informera oss i förväg om din avsikt att offentliggöra sårbarheten.
  • Vänligen ange dina kontaktuppgifter, såsom e-postadress eller telefonnummer, så att vi kan kontakta dig för vidare utredning.

Vårt åtagande

När Sonova får en rapport om en säkerhetsbrist åtar sig företaget att göra följande:

  • Vi bekräftar mottagandet av din anmälan och att din anmälan har mottagits och behandlas.
  • Vårt dedikerade säkerhetsteam kommer att genomföra en grundlig utredning av den rapporterade sårbarheten. Vi kan komma att kontakta dig för ytterligare information eller förtydliganden för att säkerställa en fullständig förståelse av sårbarheten.
  • Vi prioriterar åtgärdandet av rapporterade sårbarheter utifrån deras allvarlighetsgrad och komplexitet. Vårt team är fast beslutet att vidta nödvändiga åtgärder för att hantera och minska risker snabbt och effektivt.
  • Vi kommer att upprätthålla en öppen och transparent kommunikation med dig under hela processen. Du kommer att hållas informerad om våra framsteg i utredningen och lösningen av ärendet, med regelbundna uppdateringar i viktiga skeden.

Undantag

Vi uppmuntrar rapportering av alla säkerhetsproblem som upptäcks, men observera att följande åtgärder är strängt förbjudna:

  • Använda invasiv eller störande automatiserad skanning mot vår infrastruktur.
  • Att komma åt, ladda ner, ändra eller på annat sätt manipulera data i konton eller system som du inte äger eller har uttryckligt tillstånd att interagera med.
  • Utföra aktiviteter som avsiktligt stör, försämrar eller hotar den operativa integriteten hos våra produkter och relaterade tjänster eller system.
  • Offentliggörande av identifierade sårbarheter innan vi har löst problemet.
  • Att bedriva någon form av social manipulation, nätfiske eller bedrägliga metoder mot våra anställda, användare eller infrastruktur.
  • Genomföra fysiska säkerhetsattacker mot Sonovas tillgångar.

Sårbarheter som inte omfattas av detta program

Detta program för rapportering av sårbarheter är inriktat på sårbarheter relaterade till Sonovas produkter, deras underliggande infrastruktur och relaterade tjänster. Sårbarheter på vår webbplats eller i vår offentliga infrastruktur omfattas därför för närvarande inte av detta program.

För att möjliggöra en effektiv resursfördelning och fokusera på att minska sårbarheter med betydande inverkan definierar vi följande kategorier som utanför ramen för detta program för offentliggörande av sårbarheter. Rapportering av dessa kan leda till att de inte bekräftas eller åtgärdas:

  • Inlämningar som härrör från automatiska skanningsverktyg eller automatisk analys.
  • Observationer avseende svaga SSL/TLS-krypteringsalgoritmer och sårbarheter i TLS-konfigurationer, såvida inte en faktisk, exploaterbar risk som är specifik för vår miljö kan påvisas.
  • Avsaknad av rekommenderade säkerhetsåtgärder, implementering av bibliotek som är kända för sårbarheter eller detaljerade felmeddelanden, såvida dessa inte innehåller tydliga, påvisbara vägar för utnyttjande.

Juridisk information / Safe Harbour

På Sonova värdesätter vi säkerhetsforskarnas bidrag och erkänner vikten av deras insatser för att förbättra säkerheten hos våra produkter.

Om du följer riktlinjerna i vår policy för rapportering av sårbarheter kommer dina åtgärder att betraktas som godkända och vi kommer inte att vidta rättsliga åtgärder mot dig. Vi stöder ansvarsfull säkerhetsforskning, men observera att din efterlevnad av denna policy inte befriar dig från att följa gällande lokal lagstiftning. Om en tredje part vidtar rättsliga åtgärder i samband med dina aktiviteter enligt denna policy, bör du vara medveten om att vi visserligen strävar efter att klargöra huruvida du följer vår policy, men att vi inte kan företräda dig juridiskt eller ingripa direkt på dina vägnar.

Kontakta oss

För frågor eller anmälningar om säkerhetsbrister, vänligen kontakta vår kundtjänst på https://eu.sennheiser-hearing.com/pages/contact/.