조정된 취약점 공개 정책

서론

소노바는 자사 제품 및 관련 서비스의 보안과 복원력을 보장하기 위해 최선을 다하고 있습니다. 당사는 이러한 노력에도 불구하고 취약점이 발생할 수 있음을 잘 알고 있습니다. 따라서 당사 제품이나 그 기반이 되는 소프트웨어 및 인프라와 관련된 의심스러운 취약점이나 보안 문제를 발견하신 분은 누구나 신고해 주시기를 당부드립니다. 여기에는 보안 연구원, 고객 및 최종 사용자, CERT(컴퓨터 비상 대응팀), 업계 단체, 파트너사, 그리고 그 밖의 모든 이해관계자가 포함됩니다.

보고서를 제출하기 전에 본 정책을 꼼꼼히 읽어보시고, 귀하의 행동이 해당 지침을 준수하는지 확인해 주시기 바랍니다.

취약점 신고

당사 제품이나 관련 서비스에서 잠재적인 보안 취약점을 발견했다고 생각하시는 분은 고객 서비스팀을 통해 가능한 한 빨리 신고해 주시기 바랍니다.

보고서를 제출할 때는 다음 지침을 준수해 주십시오:

• 잠재적 취약점에 대한 상세한 정보를 제공해 주십시오. 여기에는 명확한 설명과 해당 현상을 재현하는 단계가 포함되어야 합니다. 발견 사항을 보고할 수 있는 양식은 부록에서 확인하실 수 있습니다.
• 당사의 제품, 서비스 또는 데이터의 기밀성, 무결성, 가용성 또는 안전성을 훼손할 수 있는 어떠한 행위도 삼가 주십시오. 중대한 피해를 입히거나, 데이터를 변조하거나, 권한 상승을 악용하거나, 취약점을 입증하는 데 필요한 양보다 더 많은 데이터를 다운로드하는 행위를 자제해 주시기 바랍니다.
• 당사의 조사가 완료되고 필요한 조치가 시행될 때까지 조사 결과를 비밀로 유지해 주십시오. 이는 사용자를 보호하고 보안 문제를 책임감 있게 처리하는 데 도움이 됩니다.
• 해당 취약점을 공개할 의향이 있으시면 사전에 저희에게 알려 주시기 바랍니다.
• 추가 조사를 위해 연락을 드릴 수 있도록 이메일 주소나 전화번호 등 연락처를 알려주시기 바랍니다.

저희의 약속

보안 취약점 제보를 접수하면, 소노바는 다음 사항을 준수합니다:

• 귀하의 보고서를 접수했음을 알려드리며, 제출하신 내용이 접수되어 현재 처리 중임을 확인해 드립니다.
• 당사의 전담 보안 팀이 신고된 취약점에 대해 철저한 조사를 진행할 것입니다. 해당 취약점을 정확히 파악하기 위해 추가 정보나 설명이 필요할 경우 귀하께 연락드릴 수 있습니다.
• 저희는 보고된 취약점을 심각도와 복잡성에 따라 우선순위를 정해 해결하고 있습니다. 저희 팀은 위험을 신속하고 효과적으로 해결하고 완화하기 위해 필요한 조치를 취하는 데 최선을 다하고 있습니다.
• 저희는 전 과정에 걸쳐 고객님과 개방적이고 투명한 소통을 유지할 것입니다. 문제 조사 및 해결 과정의 진행 상황을 지속적으로 알려드리며, 주요 단계마다 정기적으로 최신 정보를 제공해 드리겠습니다.

제외 사항

발견된 보안 취약점에 대한 제보를 환영하지만, 다음의 행위는 엄격히 금지됨을 유의해 주시기 바랍니다:

• 당사의 인프라에 대해 침입적이거나 방해적인 자동화된 스캔을 수행하는 행위.
• 본인이 소유하지 않았거나 명시적인 접근 권한이 없는 계정 또는 시스템 내의 데이터에 접근, 다운로드, 수정하거나 기타 방식으로 간섭하는 행위.
• 당사의 제품 및 관련 서비스나 시스템의 운영 안정성을 의도적으로 방해, 훼손하거나 위협하는 행위를 하는 것.
• 해당 취약점을 해결하기 전에 이를 공개하는 행위.
• 당사의 직원, 사용자 또는 인프라를 대상으로 어떠한 형태의 사회공학, 피싱 공격 또는 기만적 행위를 하는 행위.
• 소노바의 자산에 대한 물리적 보안 공격을 수행하는 행위.

이 프로그램의 적용 범위에 포함되지 않는 취약점

본 취약점 공개 프로그램은 소노바(Sonova) 제품, 해당 제품의 기반 인프라 및 관련 서비스와 관련된 취약점에 중점을 두고 있습니다. 따라서 당사 웹사이트나 대외적으로 노출된 인프라의 취약점은 현재 이 프로그램의 적용 대상에서 제외됩니다.

자원을 효율적으로 배분하고 중대한 영향을 미치는 취약점 완화에 집중하기 위해, 본 취약점 공개 프로그램의 적용 범위에서 다음 범주를 제외합니다. 해당 사항을 신고하더라도 확인 응답이나 수정 조치가 이루어지지 않을 수 있습니다:

• 자동 스캔 도구 또는 자동 분석 과정을 통해 생성된 제출물.
• SSL/TLS 암호화 알고리즘의 취약점 및 TLS 구성상의 결함에 대한 지적은, 당사의 환경에 특화된 실제적이고 악용 가능한 위험이 입증되지 않는 한 적용되지 않습니다.
• 권장되는 보안 조치의 미비, 취약점으로 알려진 라이브러리의 사용, 또는 구체적인 오류 메시지(단, 이러한 오류 메시지에 악용 가능한 명확하고 입증 가능한 경로가 포함된 경우는 제외).

법적 고지 / 세이프 하버

소노바는 보안 연구원들의 기여를 높이 평가하며, 당사 제품의 보안을 강화하기 위한 그들의 노력이 얼마나 중요한지 잘 알고 있습니다.

당사의 취약점 공개 정책 지침을 준수하는 경우, 귀하의 행위는 승인된 것으로 간주되며 당사는 귀하를 상대로 법적 조치를 취하지 않을 것입니다. 당사는 책임감 있는 보안 연구를 지지하지만, 본 정책을 준수한다고 해서 해당 지역의 관련 법률을 준수할 의무가 면제되는 것은 아님을 유의하시기 바랍니다. 본 정책에 따른 귀하의 활동과 관련하여 제3자가 법적 조치를 취하는 경우, 당사는 귀하가 당사의 정책을 준수한 사실을 명확히 밝히기 위해 노력하겠지만, 귀하를 대신하여 법적 대리인 역할을 하거나 직접 개입할 수는 없음을 유의하시기 바랍니다.

문의하기

보안 취약점과 관련된 문의나 제보가 있으시면 고객 서비스팀( https://global.sennheiser-hearing.com/pages/contact)으로 연락해 주시기 바랍니다.