Koordinierte Richtlinie zur Offenlegung von Schwachstellen

Einführung

Wir bei Sonova sind bestrebt, die Sicherheit und Widerstandsfähigkeit unserer Produkte und damit verbundenen Dienstleistungen zu gewährleisten. Wir wissen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Jeder ist aufgefordert, vermutete Schwachstellen oder Sicherheitsbedenken in Bezug auf unsere Produkte oder die ihnen zugrunde liegende Software oder Infrastruktur zu melden. Dazu gehören Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Branchengruppen, Partner und alle anderen Interessengruppen.

Bitte lies diese Richtlinie vor dem Einreichen eines Berichts sorgfältig durch und stelle sicher, dass deine Handlungen mit ihren Richtlinien übereinstimmen.

Eine Schwachstelle melden

Wir bitten jeden, der glaubt, eine potenzielle Sicherheitslücke in unseren Produkten oder damit verbundenen Diensten entdeckt zu haben, uns diese so schnell wie möglich über unseren Kundenservice zu melden.

Bitte befolge diese Richtlinien, wenn du einen Bericht einreichst:

Gib detaillierte Informationen über die potenzielle Schwachstelle an, einschließlich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Im Anhang findest du eine Vorlage, um deinen Befund zu melden.
Vermeide alle Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen können. Bitte unterlasse jegliche materielle Schäden, Veränderungen von Daten, Missbrauch von Privilegienerweiterungen oder das Herunterladen von mehr Daten als zur Demonstration der Schwachstelle erforderlich sind.
Wahre die Vertraulichkeit deiner Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen ergriffen haben. Dies hilft, unsere Nutzer zu schützen und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
Bitte informiere uns im Voraus über deine Absicht, die Schwachstelle öffentlich zu machen.
Bitte gib deine Kontaktdaten an, z. B. eine E-Mail-Adresse oder Telefonnummer, damit wir dich für weitere Untersuchungen kontaktieren können.

Unser Versprechen

Wenn wir eine Meldung über eine Sicherheitslücke erhalten, verpflichtet sich Sonova zu folgenden Maßnahmen:

Wir bestätigen den Eingang deiner Meldung und bestätigen, dass sie eingegangen ist und bearbeitet wird.
Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir werden dich möglicherweise um weitere Informationen oder Klarstellungen bitten, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
Wir setzen Prioritäten bei der Behebung gemeldeter Schwachstellen, je nach Schwere und Komplexität. Unser Team ist bestrebt, die notwendigen Schritte zu unternehmen, um Risiken schnell und effektiv zu beseitigen und abzumildern.
Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit dir pflegen. Du wirst über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei du in wichtigen Phasen regelmäßige Updates erhältst.

Ausschlüsse

Wir begrüßen zwar die Meldung von Sicherheitslücken, weisen jedoch darauf hin, dass die folgenden Handlungen strengstens untersagt sind:

Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
Zugriff, Herunterladen, Modifizieren oder anderweitiges Eingreifen in Daten in Konten oder Systemen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis zur Interaktion hast.
Die Durchführung von Aktivitäten, die die betriebliche Integrität unserer Produkte und damit verbundenen Dienstleistungen oder Systeme absichtlich stören, beeinträchtigen oder bedrohen.
Offenlegung der identifizierten Schwachstelle in der Öffentlichkeit, bevor wir sie gelöst haben.
Jede Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegen unsere Mitarbeiter, Nutzer oder die Infrastruktur.
Durchführung von physischen Sicherheitsangriffen auf Sonovas Vermögenswerte.

Schwachstellen, die für dieses Programm nicht in Frage kommen

Dieses Programm zur Offenlegung von Schwachstellen konzentriert sich auf Schwachstellen in Sonova-Produkten, der zugrundeliegenden Infrastruktur und den damit verbundenen Dienstleistungen. Daher sind Schwachstellen auf unserer Website oder in unserer öffentlichen Infrastruktur derzeit nicht Gegenstand dieses Programms.

Um eine effiziente Ressourcenzuweisung zu ermöglichen und sich auf die Behebung von Schwachstellen mit erheblichen Auswirkungen zu konzentrieren, definieren wir die folgenden Kategorien als außerhalb des Geltungsbereichs dieses Programms zur Meldung von Schwachstellen. Wenn du diese Schwachstellen meldest, kann es sein, dass du keine Anerkennung oder Abhilfemaßnahmen erhältst:

Einsendungen, die aus automatisierten Scan-Tools oder automatisierten Analysen resultieren.
Beobachtungen zu schwachen SSL/TLS-Kryptoalgorithmen und Schwachstellen in TLS-Konfigurationen, es sei denn, es kann ein tatsächliches, ausnutzbares Risiko in unserer Umgebung nachgewiesen werden.
Fehlen von empfohlenen Sicherheitsmaßnahmen, der Implementierung von Bibliotheken, die für Schwachstellen bekannt sind, oder von detaillierten Fehlermeldungen, es sei denn, diese enthalten klare, nachweisbare Wege zur Ausnutzung.

Rechtliche Hinweise / Safe Harbour

Wir bei Sonova schätzen die Beiträge von Sicherheitsforschern und wissen, wie wichtig ihre Bemühungen sind, um die Sicherheit unserer Produkte zu verbessern.

Wenn du die Richtlinien unserer Richtlinie zur Offenlegung von Sicherheitslücken einhältst, gelten deine Handlungen als genehmigt, und wir werden keine rechtlichen Schritte gegen dich einleiten. Auch wenn wir verantwortungsvolle Sicherheitsforschung unterstützen, beachten Sie bitte, dass die Einhaltung dieser Richtlinie Sie nicht davon befreit, geltende lokale Gesetze zu befolgen. Sollte ein Dritter rechtliche Schritte gegen dich wegen deiner Aktivitäten im Rahmen dieser Richtlinie einleiten, beachten Sie bitte, dass wir uns zwar bemühen, die Art deiner Einhaltung unserer Richtlinie zu klären, aber keine rechtliche Vertretung oder direkte Intervention in deinem Namen übernehmen können.