Chính sách tiết lộ lỗ hổng được phối hợp

Giới thiệu

Tại Sonova, chúng tôi cam kết đảm bảo tính bảo mật và khả năng phục hồi của các sản phẩm và dịch vụ liên quan. Chúng tôi hiểu rằng bất chấp những nỗ lực của chúng tôi, các lỗ hổng bảo mật vẫn có thể xảy ra. Mọi người được khuyến khích báo cáo các lỗ hổng bảo mật nghi ngờ hoặc các mối lo ngại về bảo mật liên quan đến sản phẩm, phần mềm hoặc cơ sở hạ tầng nền tảng của chúng tôi. Điều này bao gồm các nhà nghiên cứu bảo mật, khách hàng và người tiêu dùng cuối, CERT (Nhóm Ứng phó Khẩn cấp Máy tính), các nhóm ngành, đối tác và tất cả các bên liên quan khác.

Trước khi gửi báo cáo, vui lòng đọc kỹ chính sách này và đảm bảo hành động của bạn tuân thủ theo hướng dẫn của chính sách.

Báo cáo lỗ hổng

Chúng tôi yêu cầu bất kỳ ai phát hiện ra lỗ hổng bảo mật tiềm ẩn trong sản phẩm hoặc dịch vụ liên quan của chúng tôi hãy báo cáo cho chúng tôi càng sớm càng tốt thông qua tổ chức dịch vụ khách hàng.

Khi gửi báo cáo, vui lòng làm theo các hướng dẫn sau:

• Cung cấp thông tin chi tiết về lỗ hổng tiềm ẩn, bao gồm mô tả rõ ràng và các bước để tái hiện phát hiện. Vui lòng tìm mẫu báo cáo phát hiện của bạn trong Phụ lục.
• Tránh mọi hành động có thể gây tổn hại đến tính bảo mật, tính toàn vẹn, tính khả dụng hoặc tính an toàn của sản phẩm, dịch vụ hoặc dữ liệu của chúng tôi. Vui lòng không gây ra bất kỳ thiệt hại vật chất nào, thay đổi dữ liệu, lạm dụng leo thang đặc quyền hoặc tải xuống nhiều dữ liệu hơn mức cần thiết để chứng minh lỗ hổng.
• Xin vui lòng giữ bí mật thông tin của bạn cho đến khi chúng tôi hoàn tất điều tra và thực hiện các biện pháp cần thiết. Điều này giúp bảo vệ người dùng và đảm bảo việc xử lý các vấn đề bảo mật một cách có trách nhiệm.
• Vui lòng thông báo cho chúng tôi trước về ý định công khai lỗ hổng bảo mật của bạn.
• Vui lòng cung cấp thông tin liên lạc của bạn, chẳng hạn như địa chỉ email hoặc số điện thoại, để chúng tôi có thể liên hệ lại với bạn để điều tra thêm.

Cam kết của chúng tôi

Khi nhận được báo cáo về lỗ hổng bảo mật, Sonova cam kết thực hiện những điều sau:

• Chúng tôi sẽ xác nhận đã nhận được báo cáo của bạn, xác nhận rằng đơn của bạn đã được nhận và đang được xử lý.
• Đội ngũ bảo mật chuyên trách của chúng tôi sẽ tiến hành điều tra kỹ lưỡng về lỗ hổng được báo cáo. Chúng tôi có thể liên hệ với bạn để cung cấp thêm thông tin hoặc làm rõ nhằm đảm bảo bạn hiểu rõ về lỗ hổng.
• Chúng tôi ưu tiên giải quyết các lỗ hổng được báo cáo dựa trên mức độ nghiêm trọng và độ phức tạp của chúng. Đội ngũ của chúng tôi cam kết thực hiện các bước cần thiết để giải quyết và giảm thiểu rủi ro một cách nhanh chóng và hiệu quả.
• Chúng tôi sẽ duy trì liên lạc cởi mở và minh bạch với bạn trong suốt quá trình. Bạn sẽ được cập nhật thường xuyên về tiến độ điều tra và giải quyết vấn đề, đồng thời được cập nhật thường xuyên tại các giai đoạn quan trọng.

Loại trừ

Mặc dù chúng tôi khuyến khích báo cáo bất kỳ lỗ hổng bảo mật nào được phát hiện, nhưng xin lưu ý rằng các hành động sau đây bị nghiêm cấm:

• Sử dụng quét tự động xâm lấn hoặc gây gián đoạn đối với cơ sở hạ tầng của chúng tôi.
• Truy cập, tải xuống, sửa đổi hoặc can thiệp vào dữ liệu trong các tài khoản hoặc hệ thống mà bạn không sở hữu hoặc không có quyền tương tác rõ ràng.
• Thực hiện các hoạt động cố ý làm gián đoạn, làm suy giảm hoặc đe dọa tính toàn vẹn hoạt động của sản phẩm và các dịch vụ hoặc hệ thống liên quan của chúng tôi.
• Tiết lộ lỗ hổng đã được xác định trước công chúng trước khi chúng tôi giải quyết.
• Tham gia vào bất kỳ hình thức tấn công xã hội, lừa đảo hoặc hành vi lừa đảo nào đối với nhân viên, người dùng hoặc cơ sở hạ tầng của chúng tôi.
• Thực hiện các cuộc tấn công an ninh vật lý vào tài sản của Sonova.

Các lỗ hổng nằm ngoài phạm vi của chương trình này

Chương trình tiết lộ lỗ hổng bảo mật này tập trung vào các lỗ hổng liên quan đến sản phẩm Sonova, cơ sở hạ tầng nền tảng và các dịch vụ liên quan. Do đó, các lỗ hổng trên trang web của chúng tôi hoặc cơ sở hạ tầng công khai hiện không nằm trong phạm vi của chương trình này.

Để phân bổ nguồn lực hiệu quả và tập trung vào việc giảm thiểu các lỗ hổng có tác động đáng kể, chúng tôi xác định các danh mục sau đây nằm ngoài phạm vi của chương trình công bố lỗ hổng này. Việc báo cáo những danh mục này có thể không dẫn đến việc xác nhận hoặc thực hiện các hành động khắc phục:

• Nội dung gửi từ các công cụ quét tự động hoặc phân tích tự động.
• Quan sát liên quan đến thuật toán mã hóa SSL/TLS yếu và lỗ hổng trong thiết lập TLS, trừ khi có thể chứng minh được rủi ro thực tế, có thể khai thác cụ thể trong môi trường của chúng tôi.
• Không có biện pháp bảo mật được khuyến nghị, triển khai các thư viện có lỗ hổng bảo mật hoặc thông báo lỗi chi tiết, trừ khi có các đường dẫn khai thác rõ ràng, có thể chứng minh được.

Tuyên bố pháp lý / Nơi trú ẩn an toàn

Tại Sonova, chúng tôi đánh giá cao sự đóng góp của các nhà nghiên cứu bảo mật và nhận ra tầm quan trọng của những nỗ lực của họ trong việc nâng cao tính bảo mật cho các sản phẩm của chúng tôi.

Nếu bạn tuân thủ các hướng dẫn trong chính sách tiết lộ lỗ hổng bảo mật của chúng tôi, hành động của bạn sẽ được coi là được ủy quyền và chúng tôi sẽ không khởi kiện bạn. Mặc dù chúng tôi ủng hộ việc nghiên cứu bảo mật có trách nhiệm, xin lưu ý rằng việc bạn tuân thủ chính sách này không miễn trừ bạn khỏi việc tuân thủ bất kỳ luật pháp địa phương hiện hành nào. Nếu bên thứ ba khởi kiện liên quan đến hoạt động của bạn theo chính sách này, xin lưu ý rằng mặc dù chúng tôi muốn làm rõ bản chất việc bạn tuân thủ chính sách của chúng tôi, chúng tôi không thể đại diện pháp lý hoặc can thiệp trực tiếp thay mặt bạn.

Liên hệ với chúng tôi

Nếu có bất kỳ câu hỏi hoặc ý kiến đóng góp nào liên quan đến lỗ hổng bảo mật, vui lòng liên hệ với bộ phận chăm sóc khách hàng của chúng tôi https://www.sennheiser-hearing.com/contact/ .