Richtlinie zur koordinierten Offenlegung von Sicherheitslücken

Einführung

Bei Sonova setzen wir uns dafür ein, die Sicherheit und Widerstandsfähigkeit unserer Produkte und zugehörigen Services zu gewährleisten. Wir verstehen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Jeder ist dazu aufgerufen, vermutete Schwachstellen oder Sicherheitsbedenken in Bezug auf unsere Produkte oder deren zugrunde liegende Software oder Infrastruktur zu melden. Dies schliesst Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Branchengruppen, Partner und alle anderen Stakeholder ein.

Bitte lies diese Richtlinie vor dem Einreichen eines Berichts sorgfältig durch und stelle sicher, dass deine Handlungen mit ihren Richtlinien übereinstimmen.

Sicherheitslücke melden

Wir bitten alle, die glauben, eine potenzielle Sicherheitslücke in unseren Produkten oder zugehörigen Diensten entdeckt zu haben, diese so schnell wie möglich über unsere Kundenbetreuung zu melden.

Bitte befolge diese Richtlinien, wenn du einen Bericht einreichst:

Gib detaillierte Informationen über die potenzielle Schwachstelle an, einschliesslich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Im Anhang findest du eine Vorlage, um deinen Befund zu melden.
Vermeide alle Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen können. Bitte unterlasse jegliche materielle Schäden, Veränderungen von Daten, Missbrauch von Privilegienerweiterungen oder das Herunterladen von mehr Daten als zur Demonstration der Schwachstelle erforderlich sind.
Wahre die Vertraulichkeit deiner Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Massnahmen ergriffen haben. Dies hilft, unsere Nutzer zu schützen und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
Bitte informiere uns im Voraus über deine Absicht, die Schwachstelle öffentlich zu machen.
Bitte gib deine Kontaktdaten an, z. B. eine E-Mail-Adresse oder Telefonnummer, damit wir dich für weitere Untersuchungen kontaktieren können.

Unser Versprechen

Nach Erhalt einer Meldung zu einer Sicherheitslücke verpflichtet sich Sonova zu Folgendem:

Wir bestätigen den Eingang deiner Meldung und teilen dir mit, dass deine Eingabe eingegangen ist und bearbeitet wird.
Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir werden dich möglicherweise um weitere Informationen oder Klarstellungen bitten, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
Wir priorisieren die Behebung gemeldeter Sicherheitslücken nach ihrer Schwere und Komplexität. Unser Team ist bestrebt, die notwendigen Schritte zu ergreifen, um Risiken schnell und effektiv zu adressieren und zu minimieren.
Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit dir pflegen. Du wirst über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei du in wichtigen Phasen regelmässige Updates erhältst.

Ausschlüsse

Wir begrüssen zwar die Meldung von Sicherheitslücken, weisen jedoch darauf hin, dass die folgenden Handlungen strengstens untersagt sind:

Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
Zugriff, Herunterladen, Modifizieren oder anderweitiges Eingreifen in Daten in Konten oder Systemen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis zur Interaktion hast.
Durchführung von Aktivitäten, die absichtlich die betriebliche Integrität unserer Produkte und zugehörigen Dienste oder Systeme stören, beeinträchtigen oder bedrohen.
Veröffentlichung einer identifizierten Sicherheitslücke, bevor wir diese behoben haben.
Sich an jeglicher Form von Social Engineering, Phishing-Angriffen oder irreführenden Praktiken gegen unsere Mitarbeiter, Nutzer oder Infrastruktur zu beteiligen.
Durchführung physischer Sicherheitsangriffe auf Vermögenswerte von Sonova.

Sicherheitslücken ausserhalb des Geltungsbereichs dieses Programms

Dieses Programm zur Offenlegung von Sicherheitslücken konzentriert sich auf Schwachstellen im Zusammenhang mit Sonova-Produkten, deren zugrunde liegender Infrastruktur und zugehörigen Diensten. Sicherheitslücken auf unserer Website oder öffentlich zugänglicher Infrastruktur sind derzeit nicht Gegenstand dieses Programms.

Um eine effiziente Zuweisung von Ressourcen zu ermöglichen und uns auf die Behebung von Sicherheitslücken mit erheblicher Auswirkung zu konzentrieren, definieren wir die folgenden Kategorien als nicht im Geltungsbereich dieses Programms zur Offenlegung von Sicherheitslücken. Die Meldung dieser Kategorien führt möglicherweise nicht zu einer Bestätigung oder zu Abhilfemassnahmen:

Einsendungen, die aus automatisierten Scan-Tools oder automatisierten Analysen resultieren.
Beobachtungen zu schwachen SSL/TLS-Verschlüsselungsalgorithmen und Sicherheitslücken in TLS-Konfigurationen, es sei denn, ein tatsächliches, ausnutzbares Risiko, das spezifisch für unsere Umgebung ist, kann nachgewiesen werden.
Fehlen empfohlener Sicherheitsmassnahmen, Implementierung von Bibliotheken mit bekannten Sicherheitslücken oder detaillierte Fehlermeldungen, es sei denn, diese beinhalten klare, nachweisbare Wege zur Ausnutzung.

Rechtliche Erklärung / Safe Harbour

Bei Sonova schätzen wir die Beiträge von Sicherheitsforschern und erkennen die Bedeutung ihrer Bemühungen zur Verbesserung der Sicherheit unserer Produkte an.

Wenn du die Richtlinien unserer Richtlinie zur Offenlegung von Sicherheitslücken einhältst, werden deine Handlungen als autorisiert betrachtet, und wir werden keine rechtlichen Schritte gegen dich einleiten. Während wir verantwortungsvolle Sicherheitsforschung unterstützen, beachte bitte, dass deine Einhaltung dieser Richtlinie dich nicht von der Einhaltung geltender lokaler Gesetze befreit. Sollten rechtliche Schritte von einem Dritten im Zusammenhang mit deinen Aktivitäten im Rahmen dieser Richtlinie eingeleitet werden, beachte bitte, dass wir zwar darauf abzielen, die Art deiner Einhaltung unserer Richtlinie zu klären, wir jedoch keine Rechtsvertretung übernehmen oder direkt in deinem Namen eingreifen können.