Política de Divulgação Coordenada de Vulnerabilidades

Introdução

Na Sonova, estamos comprometidos em garantir a segurança e a resiliência de nossos produtos e serviços relacionados. Entendemos que, apesar de nossos esforços, vulnerabilidades podem ocorrer. Todos são incentivados a relatar suspeitas de vulnerabilidades ou preocupações de segurança relacionadas aos nossos produtos ou ao software ou infraestrutura subjacentes. Isso inclui pesquisadores de segurança, clientes e consumidores finais, CERTs (Equipes de Resposta a Emergências Informáticas), grupos do setor, parceiros e todas as outras partes interessadas.

Antes de enviar uma denúncia, leia esta política cuidadosamente e certifique-se de que suas ações estejam alinhadas com suas diretrizes.

Relatando uma vulnerabilidade

Solicitamos a todos aqueles que acreditam ter descoberto uma potencial vulnerabilidade de segurança em nossos produtos ou serviços relacionados que nos informem o mais rápido possível através de nossa organização de atendimento ao cliente.

Ao enviar um relatório, siga estas orientações:

• Forneça informações detalhadas sobre a vulnerabilidade potencial, incluindo uma descrição clara e as etapas para reproduzir a descoberta. Encontre um modelo para relatar sua descoberta no Anexo.
• Evite quaisquer ações que possam prejudicar a confidencialidade, integridade, disponibilidade ou segurança de nossos produtos, serviços ou dados. Abstenha-se de causar qualquer dano material, alterar dados, abusar da escalação de privilégios ou baixar mais dados do que o necessário para demonstrar a vulnerabilidade.
• Mantenha a confidencialidade de suas descobertas até que tenhamos concluído nossa investigação e implementado as medidas necessárias. Isso ajuda a proteger nossos usuários e garante o tratamento responsável das questões de segurança.
• Por favor, informe-nos com antecedência sobre sua intenção de divulgar publicamente a vulnerabilidade.
• Forneça seus dados de contato, como endereço de e-mail ou número de telefone, para que possamos entrar em contato com você para uma investigação mais aprofundada.

Nosso compromisso

Ao receber uma notificação sobre uma vulnerabilidade de segurança, a Sonova compromete-se a:

• Confirmaremos o recebimento do seu relatório, confirmando que sua submissão foi recebida e está sendo processada.
• Nossa equipe de segurança dedicada conduzirá uma investigação completa da vulnerabilidade relatada. Podemos entrar em contato com você para obter mais informações ou esclarecimentos, a fim de garantir uma compreensão abrangente da vulnerabilidade.
• Priorizamos a resolução das vulnerabilidades relatadas com base em sua gravidade e complexidade. Nossa equipe está comprometida em tomar as medidas necessárias para abordar e mitigar os riscos de forma rápida e eficaz.
• Manteremos uma comunicação aberta e transparente com você durante todo o processo. Você será informado sobre o andamento da investigação e resolução da questão, com atualizações regulares fornecidas nas etapas principais.

Exclusões

Embora incentivemos a comunicação de quaisquer vulnerabilidades de segurança encontradas, observe que as seguintes ações são estritamente proibidas:

• Utilizar varreduras automatizadas invasivas ou perturbadoras contra a nossa infraestrutura.
• Acessar, baixar, modificar ou interferir de qualquer outra forma nos dados de contas ou sistemas que você não possui ou para os quais não tem permissão explícita para interagir.
• Realizar atividades que intencionalmente perturbem, prejudiquem ou ameacem a integridade operacional de nossos produtos e serviços ou sistemas relacionados.
• Divulgar publicamente a vulnerabilidade identificada antes da nossa resolução.
• Envolver-se em qualquer forma de engenharia social, ataques de phishing ou práticas enganosas contra nossos funcionários, usuários ou infraestrutura.
• Realizar ataques físicos à segurança dos ativos da Sonova.

Vulnerabilidades fora do escopo deste programa

Este programa de divulgação de vulnerabilidades concentra-se em vulnerabilidades relacionadas com os produtos Sonova, a sua infraestrutura subjacente e serviços relacionados. Como tal, as vulnerabilidades no nosso website ou infraestrutura pública não estão atualmente abrangidas por este programa.

Para permitir uma alocação eficiente de recursos e focar na mitigação de vulnerabilidades com impacto significativo, definimos as seguintes categorias como fora do escopo deste programa de divulgação de vulnerabilidades. Relatar essas vulnerabilidades pode não resultar em reconhecimento ou ações de correção:

• Envios resultantes de ferramentas de digitalização automatizadas ou análises automatizadas.
• Observações relativas a algoritmos criptográficos SSL/TLS fracos e vulnerabilidades nas configurações TLS, a menos que seja possível demonstrar um risco real e explorável específico para o nosso ambiente.
• Ausência de medidas de segurança recomendadas, implementação de bibliotecas conhecidas por suas vulnerabilidades ou mensagens de erro detalhadas, a menos que estas incluam caminhos claros e demonstráveis para exploração.

Declaração Legal / Porto Seguro

Na Sonova, valorizamos as contribuições dos pesquisadores de segurança e reconhecemos a importância de seus esforços para melhorar a segurança de nossos produtos.

Se você cumprir as diretrizes da nossa política de divulgação de vulnerabilidades, suas ações serão consideradas autorizadas e não iniciaremos nenhuma ação legal contra você. Embora apoiemos pesquisas de segurança responsáveis, observe que a adesão a esta política não o isenta de cumprir as leis locais aplicáveis. Se uma ação legal for iniciada por terceiros em relação às suas atividades sob esta política, esteja ciente de que, embora nosso objetivo seja esclarecer a natureza da sua conformidade com a nossa política, não podemos nos envolver em representação legal ou intervenção direta em seu nome.

Entre em contato conosco

Para quaisquer perguntas ou envios relacionados a vulnerabilidades de segurança, entre em contato com nosso atendimento ao cliente https://global.sennheiser-hearing.com/pages/contact.