Pendahuluan

Di Sonova, kami berkomitmen untuk memastikan keamanan dan ketahanan produk serta layanan terkait kami. Kami memahami bahwa meskipun telah berupaya, kerentanan dapat terjadi. Setiap orang dianjurkan untuk melaporkan dugaan kerentanan atau masalah keamanan yang terkait dengan produk kami atau perangkat lunak atau infrastruktur dasarnya. Ini termasuk peneliti keamanan, pelanggan dan konsumen akhir, CERT (Computer Emergency Response Teams), kelompok industri, mitra, dan semua pemangku kepentingan lainnya.

Sebelum mengirimkan laporan, harap baca kebijakan ini dengan saksama dan pastikan tindakan Anda selaras dengan panduannya.

Melaporkan Kerentanan

Kami dengan hormat meminta siapa pun yang meyakini telah menemukan potensi kerentanan keamanan pada produk atau layanan terkait kami untuk segera melaporkannya kepada kami melalui organisasi layanan pelanggan kami.

Saat mengirimkan laporan, harap ikuti panduan berikut:

  • Berikan informasi rinci tentang potensi kerentanan, termasuk deskripsi yang jelas dan langkah-langkah untuk mereproduksi temuan tersebut. Harap temukan templat untuk melaporkan temuan Anda di Lampiran.
  • Hindari tindakan apa pun yang dapat membahayakan kerahasiaan, integritas, ketersediaan, atau keamanan produk dan layanan atau data kami. Harap jangan menyebabkan kerugian material, mengubah data, menyalahgunakan peningkatan hak akses, atau mengunduh lebih banyak data daripada yang diperlukan untuk menunjukkan kerentanan.
  • Jaga kerahasiaan temuan Anda sampai kami menyelesaikan investigasi dan menerapkan langkah-langkah yang diperlukan. Ini membantu melindungi pengguna kami dan memastikan penanganan masalah keamanan yang bertanggung jawab.
  • Harap informasikan kepada kami sebelumnya tentang niat Anda untuk mengungkapkan kerentanan ini secara publik.
  • Harap berikan detail kontak Anda, seperti alamat email atau nomor telepon, agar kami dapat menindaklanjuti dengan Anda untuk investigasi lebih lanjut.

Komitmen Kami

Setelah menerima laporan kerentanan keamanan, Sonova berkomitmen untuk hal-hal berikut:

  • Kami akan mengakui penerimaan laporan Anda, mengonfirmasi bahwa kiriman Anda telah diterima dan sedang diproses.
  • Tim keamanan khusus kami akan melakukan investigasi menyeluruh terhadap kerentanan yang dilaporkan. Kami mungkin menghubungi Anda untuk informasi atau klarifikasi lebih lanjut guna memastikan pemahaman yang komprehensif tentang kerentanan tersebut.
  • Kami memprioritaskan penyelesaian kerentanan yang dilaporkan berdasarkan tingkat keparahan dan kompleksitasnya. Tim kami berkomitmen untuk mengambil langkah-langkah yang diperlukan untuk mengatasi dan mengurangi risiko dengan cepat dan efektif.
  • Kami akan menjaga komunikasi yang terbuka dan transparan dengan Anda selama proses berlangsung. Anda akan terus diinformasikan tentang kemajuan kami dalam menginvestigasi dan menyelesaikan masalah ini, dengan pembaruan rutin yang diberikan pada tahap-tahap penting.

Pengecualian

Meskipun kami mendorong pelaporan setiap kerentanan keamanan yang ditemukan, harap dicatat bahwa tindakan-tindakan berikut dilarang keras:

  • Menggunakan pemindaian otomatis yang invasif atau mengganggu terhadap infrastruktur kami.
  • Mengakses, mengunduh, memodifikasi, atau mengganggu data di akun atau sistem yang tidak Anda miliki atau tidak memiliki izin eksplisit untuk berinteraksi dengannya.
  • Melakukan aktivitas yang sengaja mengganggu, menurunkan, atau mengancam integritas operasional produk dan layanan atau sistem terkait kami.
  • Mengungkapkan kerentanan yang teridentifikasi secara publik sebelum kami menyelesaikannya.
  • Terlibat dalam bentuk rekayasa sosial, serangan phishing, atau praktik penipuan apa pun terhadap karyawan, pengguna, atau infrastruktur kami.
  • Melakukan serangan keamanan fisik terhadap aset Sonova.

Kerentanan di luar cakupan program ini

Program pengungkapan kerentanan ini berfokus pada kerentanan yang terkait dengan produk Sonova, infrastruktur dasarnya, dan layanan terkait. Oleh karena itu, kerentanan pada situs web kami atau infrastruktur yang menghadap publik saat ini tidak termasuk dalam cakupan program ini.

Untuk memungkinkan alokasi sumber daya yang efisien dan fokus pada mitigasi kerentanan dengan dampak signifikan, kami mendefinisikan kategori berikut sebagai di luar cakupan program pengungkapan kerentanan ini. Melaporkan hal-hal ini mungkin tidak menghasilkan pengakuan atau tindakan perbaikan:

  • Kiriman yang dihasilkan dari alat pemindaian otomatis atau analisis otomatis.
  • Pengamatan mengenai algoritma kriptografi SSL/TLS yang lemah dan kerentanan dalam pengaturan TLS, kecuali jika risiko yang sebenarnya dapat dieksploitasi dan spesifik untuk lingkungan kami dapat ditunjukkan.
  • Tidak adanya langkah-langkah keamanan yang direkomendasikan, implementasi pustaka yang dikenal memiliki kerentanan, atau pesan kesalahan yang detail, kecuali jika ini mencakup jalur eksploitasi yang jelas dan dapat ditunjukkan.

Pernyataan Hukum / Perlindungan Hukum

Di Sonova, kami menghargai kontribusi peneliti keamanan dan mengakui pentingnya upaya mereka dalam meningkatkan keamanan produk kami.

Jika Anda mematuhi pedoman kebijakan pengungkapan kerentanan kami, tindakan Anda akan dianggap sah, dan kami tidak akan memulai tindakan hukum terhadap Anda. Meskipun kami mendukung penelitian keamanan yang bertanggung jawab, harap dicatat bahwa kepatuhan Anda terhadap kebijakan ini tidak membebaskan Anda dari kepatuhan terhadap hukum setempat yang berlaku. Jika tindakan hukum dimulai oleh pihak ketiga terkait aktivitas Anda berdasarkan kebijakan ini, harap diketahui bahwa meskipun kami bertujuan untuk mengklarifikasi sifat kepatuhan Anda terhadap kebijakan kami, kami tidak dapat terlibat dalam perwakilan hukum atau intervensi langsung atas nama Anda.

Hubungi Kami

Untuk pertanyaan atau pengajuan terkait kerentanan keamanan, silakan hubungi layanan pelanggan kami https://id.sennheiser-hearing.com/pages/contact.