Koordinierte Richtlinie zur Offenlegung von Schwachstellen

Einführung

Bei Sonova setzen wir uns dafür ein, dass unsere Produkte und die damit verbundenen Dienstleistungen sicher und robust sind. Wir wissen, dass trotz unserer Bemühungen Schwachstellen auftreten können. Wir ermutigen alle, uns über vermutete Schwachstellen oder Sicherheitsbedenken in Bezug auf unsere Produkte oder die zugrunde liegende Software oder Infrastruktur zu informieren. Dazu gehören Sicherheitsforscher, Kunden und Endverbraucher, CERTs (Computer Emergency Response Teams), Branchenverbände, Partner und alle anderen Interessengruppen.

Bitte lies diese Richtlinie vor dem Einreichen eines Berichts sorgfältig durch und stelle sicher, dass deine Handlungen mit ihren Richtlinien übereinstimmen.

Eine Schwachstelle melden

Wir bitten jeden, der glaubt, eine potenzielle Sicherheitslücke in unseren Produkten oder damit verbundenen Diensten entdeckt zu haben, uns diese so schnell wie möglich über unseren Kundenservice zu melden.

Bitte befolge diese Richtlinien, wenn du einen Bericht einreichst:

Gib detaillierte Informationen über die potenzielle Schwachstelle an, einschließlich einer klaren Beschreibung und Schritten zur Reproduktion des Befunds. Im Anhang findest du eine Vorlage, um deinen Befund zu melden.
Vermeide alle Handlungen, die die Vertraulichkeit, Integrität, Verfügbarkeit oder Sicherheit unserer Produkte und Dienstleistungen oder Daten beeinträchtigen können. Bitte unterlasse jegliche materielle Schäden, Veränderungen von Daten, Missbrauch von Privilegienerweiterungen oder das Herunterladen von mehr Daten als zur Demonstration der Schwachstelle erforderlich sind.
Wahre die Vertraulichkeit deiner Erkenntnisse, bis wir unsere Untersuchung abgeschlossen und die notwendigen Maßnahmen ergriffen haben. Dies hilft, unsere Nutzer zu schützen und gewährleistet einen verantwortungsvollen Umgang mit Sicherheitsproblemen.
Bitte informiere uns im Voraus über deine Absicht, die Schwachstelle öffentlich zu machen.
Bitte gib deine Kontaktdaten an, z. B. eine E-Mail-Adresse oder Telefonnummer, damit wir dich für weitere Untersuchungen kontaktieren können.

Unser Versprechen

Wenn wir eine Meldung über eine Sicherheitslücke erhalten, verpflichtet sich Sonova zu folgenden Maßnahmen:

Wir bestätigen den Eingang deiner Meldung und bestätigen, dass sie eingegangen ist und bearbeitet wird.
Unser engagiertes Sicherheitsteam wird eine gründliche Untersuchung der gemeldeten Schwachstelle durchführen. Wir werden dich möglicherweise um weitere Informationen oder Klarstellungen bitten, um ein umfassendes Verständnis der Schwachstelle zu gewährleisten.
Wir setzen Prioritäten bei der Behebung gemeldeter Schwachstellen, je nach Schwere und Komplexität. Unser Team ist bestrebt, die notwendigen Schritte zu unternehmen, um Risiken schnell und effektiv zu beseitigen und abzumildern.
Wir werden während des gesamten Prozesses eine offene und transparente Kommunikation mit dir pflegen. Du wirst über unsere Fortschritte bei der Untersuchung und Behebung des Problems auf dem Laufenden gehalten, wobei du in wichtigen Phasen regelmäßige Updates erhältst.

Ausschlüsse

Wir begrüßen zwar die Meldung von Sicherheitslücken, weisen jedoch darauf hin, dass die folgenden Handlungen strengstens untersagt sind:

Verwendung invasiver oder störender automatisierter Scans gegen unsere Infrastruktur.
Zugriff, Herunterladen, Modifizieren oder anderweitiges Eingreifen in Daten in Konten oder Systemen, die dir nicht gehören oder für die du keine ausdrückliche Erlaubnis zur Interaktion hast.
Die Durchführung von Aktivitäten, die die betriebliche Integrität unserer Produkte und damit verbundenen Dienstleistungen oder Systeme absichtlich stören, beeinträchtigen oder bedrohen.
Offenlegung der identifizierten Schwachstelle in der Öffentlichkeit, bevor wir sie gelöst haben.
Irgendeine Form von Social Engineering, Phishing-Angriffen oder betrügerischen Praktiken gegen unsere Mitarbeiter, Nutzer oder Infrastruktur.
Durchführung von physischen Sicherheitsangriffen auf Sonovas Vermögenswerte.

Schwachstellen, die für dieses Programm nicht in Frage kommen

Dieses Programm zur Offenlegung von Schwachstellen konzentriert sich auf Schwachstellen in Sonova-Produkten, der zugrundeliegenden Infrastruktur und den damit verbundenen Dienstleistungen. Daher sind Schwachstellen auf unserer Website oder in unserer öffentlichen Infrastruktur derzeit nicht Gegenstand dieses Programms.

Um eine effiziente Ressourcenzuweisung zu ermöglichen und sich auf die Behebung von Schwachstellen mit erheblichen Auswirkungen zu konzentrieren, definieren wir die folgenden Kategorien als außerhalb des Geltungsbereichs dieses Programms zur Meldung von Schwachstellen. Wenn du diese Schwachstellen meldest, kann es sein, dass du keine Anerkennung oder Abhilfemaßnahmen erhältst:

Einsendungen, die aus automatisierten Scan-Tools oder automatisierten Analysen resultieren.
Beobachtungen zu schwachen SSL/TLS-Kryptoalgorithmen und Schwachstellen in TLS-Konfigurationen, es sei denn, es kann ein tatsächliches, ausnutzbares Risiko in unserer Umgebung nachgewiesen werden.
Fehlen von empfohlenen Sicherheitsmaßnahmen, der Implementierung von Bibliotheken, die für Schwachstellen bekannt sind, oder von detaillierten Fehlermeldungen, es sei denn, diese enthalten klare, nachweisbare Wege zur Ausnutzung.

Rechtliche Hinweise / Safe Harbour

Wir bei Sonova schätzen die Arbeit von Sicherheitsforschern und wissen, wie wichtig sie für die Verbesserung der Sicherheit unserer Produkte sind.

Wenn du die Richtlinien unserer Richtlinie zur Offenlegung von Sicherheitslücken befolgst, werden deine Handlungen als autorisiert angesehen, und wir werden keine rechtlichen Schritte gegen dich einleiten. Wir unterstützen zwar verantwortungsbewusste Sicherheitsforschung, aber bitte beachte, dass die Einhaltung dieser Richtlinie dich nicht von der Einhaltung geltender lokaler Gesetze befreit. Wenn ein Dritter rechtliche Schritte wegen deiner Aktivitäten im Rahmen dieser Richtlinie einleitet, wollen wir zwar die Einhaltung unserer Richtlinie klären, können dich aber nicht rechtlich vertreten oder direkt für dich eingreifen.