นโยบายการเปิดเผยช่องโหว่ที่ประสานงานกัน

การแนะนำ

ที่ Sonova เรามุ่งมั่นที่จะสร้างความมั่นใจด้านความปลอดภัยและความยืดหยุ่นของผลิตภัณฑ์และบริการที่เกี่ยวข้อง เราเข้าใจดีว่าแม้เราจะพยายามอย่างเต็มที่ แต่ความเสี่ยงก็อาจเกิดขึ้นได้ ขอแนะนำให้ทุกคนรายงานความเสี่ยงที่น่าสงสัยหรือข้อกังวลด้านความปลอดภัยที่เกี่ยวข้องกับผลิตภัณฑ์ ซอฟต์แวร์ หรือโครงสร้างพื้นฐานที่เกี่ยวข้อง ซึ่งรวมถึงนักวิจัยด้านความปลอดภัย ลูกค้าและผู้บริโภคปลายทาง ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ (CERT) กลุ่มอุตสาหกรรม พันธมิตร และผู้มีส่วนได้ส่วนเสียอื่นๆ ทั้งหมด

ก่อนที่จะส่งรายงาน โปรดอ่านนโยบายนี้อย่างละเอียด และตรวจสอบให้แน่ใจว่าการกระทำของคุณสอดคล้องกับแนวทางปฏิบัติ

การรายงานช่องโหว่

เราขอให้ผู้ที่เชื่อว่าตนเองได้ค้นพบช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นในผลิตภัณฑ์หรือบริการที่เกี่ยวข้องของเรา รายงานให้เราทราบโดยเร็วที่สุดผ่านทางองค์กรบริการลูกค้าของเรา

เมื่อส่งรายงาน โปรดปฏิบัติตามแนวทางเหล่านี้:

• ให้ข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้น รวมถึงคำอธิบายที่ชัดเจนและขั้นตอนในการทำซ้ำสิ่งที่ค้นพบ โปรดดูแบบฟอร์มสำหรับรายงานสิ่งที่ค้นพบในภาคผนวก
• หลีกเลี่ยงการกระทำใดๆ ที่อาจส่งผลเสียต่อความลับ ความสมบูรณ์ ความพร้อมใช้งาน หรือความปลอดภัยของผลิตภัณฑ์ บริการ หรือข้อมูลของเรา โปรดงดเว้นการก่อให้เกิดความเสียหายทางวัตถุ เปลี่ยนแปลงข้อมูล ละเมิดสิทธิ์ที่เพิ่มสูงขึ้น หรือดาวน์โหลดข้อมูลมากเกินความจำเป็นเพื่อแสดงให้เห็นถึงช่องโหว่
• โปรดรักษาข้อมูลที่ท่านพบเป็นความลับจนกว่าเราจะดำเนินการสืบสวนและดำเนินมาตรการที่จำเป็นเสร็จสิ้น ซึ่งจะช่วยปกป้องผู้ใช้ของเราและรับประกันการจัดการปัญหาด้านความปลอดภัยอย่างมีความรับผิดชอบ
• โปรดแจ้งให้เราทราบล่วงหน้าเกี่ยวกับความตั้งใจของคุณในการเปิดเผยช่องโหว่ต่อสาธารณะ
• โปรดระบุรายละเอียดการติดต่อของคุณ เช่น ที่อยู่อีเมลหรือหมายเลขโทรศัพท์ เพื่อให้เราสามารถติดตามคุณเพื่อดำเนินการสืบสวนเพิ่มเติม

ความมุ่งมั่นของเรา

เมื่อได้รับรายงานเกี่ยวกับช่องโหว่ด้านความปลอดภัย Sonova จะดำเนินการดังต่อไปนี้:

• เราจะยืนยันการได้รับรายงานของคุณ โดยยืนยันว่าเราได้รับรายงานของคุณแล้วและกำลังดำเนินการประมวลผลอยู่
• ทีมรักษาความปลอดภัยของเราจะดำเนินการตรวจสอบช่องโหว่ที่ได้รับรายงานอย่างละเอียด เราอาจติดต่อคุณเพื่อขอข้อมูลเพิ่มเติมหรือคำชี้แจง เพื่อให้มั่นใจว่าคุณเข้าใจช่องโหว่นี้อย่างถ่องแท้
• เราให้ความสำคัญกับการแก้ไขช่องโหว่ที่ได้รับรายงานโดยพิจารณาจากความรุนแรงและความซับซ้อน ทีมงานของเรามุ่งมั่นที่จะดำเนินขั้นตอนที่จำเป็นเพื่อจัดการและลดความเสี่ยงอย่างรวดเร็วและมีประสิทธิภาพ
• เราจะรักษาการสื่อสารที่เปิดเผยและโปร่งใสกับคุณตลอดกระบวนการ คุณจะได้รับแจ้งความคืบหน้าในการตรวจสอบและแก้ไขปัญหาของเรา พร้อมการอัปเดตเป็นระยะๆ ในขั้นตอนสำคัญๆ

การยกเว้น

แม้ว่าเราจะสนับสนุนให้รายงานช่องโหว่ด้านความปลอดภัยใดๆ ที่พบ แต่โปรดทราบว่าห้ามดำเนินการดังต่อไปนี้โดยเด็ดขาด:

• การใช้การสแกนอัตโนมัติแบบรุกรานหรือรบกวนโครงสร้างพื้นฐานของเรา
• การเข้าถึง ดาวน์โหลด แก้ไข หรือการแทรกแซงข้อมูลในบัญชีหรือระบบที่คุณไม่ได้เป็นเจ้าของหรือไม่มีสิทธิ์ชัดเจนในการโต้ตอบด้วย
• ดำเนินกิจกรรมที่จงใจขัดขวาง ลดคุณภาพ หรือคุกคามความสมบูรณ์ในการทำงานของผลิตภัณฑ์ของเราและบริการหรือระบบที่เกี่ยวข้อง
• การเปิดเผยจุดอ่อนที่ระบุไว้ต่อสาธารณะก่อนที่เราจะแก้ไขปัญหา
• การมีส่วนร่วมในรูปแบบใดๆ ของวิศวกรรมสังคม การโจมตีแบบฟิชชิ่ง หรือการหลอกลวงต่อพนักงาน ผู้ใช้ หรือโครงสร้างพื้นฐานของเรา
• ดำเนินการโจมตีความปลอดภัยทางกายภาพต่อทรัพย์สินของ Sonova

ช่องโหว่ที่อยู่นอกเหนือขอบเขตของโปรแกรมนี้

โปรแกรมการเปิดเผยช่องโหว่นี้มุ่งเน้นไปที่ช่องโหว่ที่เกี่ยวข้องกับผลิตภัณฑ์ Sonova โครงสร้างพื้นฐาน และบริการที่เกี่ยวข้อง ดังนั้น ช่องโหว่บนเว็บไซต์หรือโครงสร้างพื้นฐานที่เผยแพร่สู่สาธารณะของเราจึงไม่อยู่ในขอบเขตของโปรแกรมนี้ในขณะนี้

เพื่อให้สามารถจัดสรรทรัพยากรได้อย่างมีประสิทธิภาพและมุ่งเน้นการบรรเทาความเสี่ยงที่มีผลกระทบอย่างมีนัยสำคัญ เราจึงกำหนดให้หมวดหมู่ต่อไปนี้อยู่นอกขอบเขตของโครงการเปิดเผยข้อมูลความเสี่ยงนี้ การรายงานเหล่านี้อาจไม่ส่งผลให้เกิดการยอมรับหรือการดำเนินการแก้ไข:

• การส่งมอบผลลัพธ์จากเครื่องมือสแกนอัตโนมัติหรือการวิเคราะห์อัตโนมัติ
• การสังเกตเกี่ยวกับอัลกอริทึมเข้ารหัส SSL/TLS ที่อ่อนแอและช่องโหว่ในการตั้งค่า TLS เว้นแต่ว่าจะสามารถสาธิตความเสี่ยงที่เกิดขึ้นจริงและสามารถใช้ประโยชน์ได้เฉพาะกับสภาพแวดล้อมของเรา
• ขาดมาตรการรักษาความปลอดภัยที่แนะนำ การนำไลบรารีที่ทราบกันว่ามีช่องโหว่ หรือข้อความแสดงข้อผิดพลาดโดยละเอียด เว้นแต่ว่าสิ่งเหล่านี้จะรวมถึงเส้นทางที่ชัดเจนและสามารถพิสูจน์ได้สำหรับการใช้ประโยชน์

คำชี้แจงทางกฎหมาย / Safe Harbor

ที่ Sonova เราให้ความสำคัญกับการมีส่วนร่วมของนักวิจัยด้านความปลอดภัยและตระหนักถึงความสำคัญของความพยายามของพวกเขาในการเพิ่มความปลอดภัยของผลิตภัณฑ์ของเรา

หากคุณปฏิบัติตามแนวทางของนโยบายการเปิดเผยช่องโหว่ของเรา การกระทำของคุณจะถือว่าได้รับอนุญาต และเราจะไม่ดำเนินการทางกฎหมายกับคุณ แม้ว่าเราจะสนับสนุนการวิจัยด้านความปลอดภัยอย่างมีความรับผิดชอบ แต่โปรดทราบว่าการปฏิบัติตามนโยบายนี้ไม่ได้ยกเว้นให้คุณไม่ต้องปฏิบัติตามกฎหมายท้องถิ่นใดๆ ที่เกี่ยวข้อง หากบุคคลที่สามดำเนินการทางกฎหมายเกี่ยวกับกิจกรรมของคุณภายใต้นโยบายนี้ โปรดทราบว่าแม้ว่าเราจะมุ่งมั่นที่จะชี้แจงถึงลักษณะการปฏิบัติตามนโยบายของเรา แต่เราไม่สามารถดำเนินการทางกฎหมายหรือแทรกแซงโดยตรงในนามของคุณได้

ติดต่อเรา

หากมีคำถามหรือต้องการส่งข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัย โปรดติดต่อฝ่ายบริการลูกค้าของเรา https://www.sennheiser-hearing.com/contact/