Pengantar

Di Sonova, kami berkomitmen untuk memastikan keamanan dan ketahanan produk kami serta layanan terkait. Kami menyadari bahwa meskipun kami telah berusaha keras, kerentanan tetap dapat terjadi. Semua pihak didorong untuk melaporkan kerentanan yang dicurigai atau masalah keamanan yang terkait dengan produk kami, perangkat lunak dasar, atau infrastrukturnya. Hal ini mencakup peneliti keamanan, pelanggan, pengguna akhir, CERT (Tim Tanggap Darurat Komputer), kelompok industri, mitra, dan semua pemangku kepentingan lainnya.

Sebelum mengirimkan laporan, harap baca kebijakan ini dengan seksama dan pastikan tindakan Anda sesuai dengan pedoman yang tercantum di dalamnya.

Melaporkan Kerentanan

Kami dengan hormat meminta siapa pun yang yakin telah menemukan potensi kerentanan keamanan dalam produk atau layanan terkait kami untuk segera melaporkannya kepada kami melalui tim layanan pelanggan kami.

Saat mengirimkan laporan, harap ikuti panduan berikut:

  • Berikan informasi rinci mengenai kerentanan potensial, termasuk deskripsi yang jelas dan langkah-langkah untuk mereproduksi temuan tersebut. Silakan temukan templat untuk melaporkan temuan Anda di Lampiran.
  • Hindari melakukan tindakan apa pun yang dapat merusak kerahasiaan, integritas, ketersediaan, atau keamanan produk, layanan, atau data kami. Mohon hindari menyebabkan kerusakan material, mengubah data, menyalahgunakan peningkatan hak akses, atau mengunduh data lebih dari yang diperlukan untuk menunjukkan kerentanan.
  • Jaga kerahasiaan temuan Anda hingga kami menyelesaikan penyelidikan dan menerapkan langkah-langkah yang diperlukan. Hal ini membantu melindungi pengguna kami dan memastikan penanganan yang bertanggung jawab terhadap masalah keamanan.
  • Harap beritahu kami terlebih dahulu mengenai niat Anda untuk mengumumkan kerentanan tersebut secara publik.
  • Silakan berikan detail kontak Anda, seperti alamat email atau nomor telepon, agar kami dapat menghubungi Anda untuk penyelidikan lebih lanjut.

Komitmen Kami

Setelah menerima laporan tentang kerentanan keamanan, Sonova berkomitmen untuk melakukan hal-hal berikut:

  • Kami akan mengonfirmasi penerimaan laporan Anda, memastikan bahwa pengajuan Anda telah diterima dan sedang diproses.
  • Tim keamanan kami yang berdedikasi akan melakukan penyelidikan menyeluruh terhadap kerentanan yang dilaporkan. Kami mungkin akan menghubungi Anda untuk informasi tambahan atau klarifikasi guna memastikan pemahaman yang komprehensif terhadap kerentanan tersebut.
  • Kami memprioritaskan penyelesaian kerentanan yang dilaporkan berdasarkan tingkat keparahan dan kompleksitasnya. Tim kami berkomitmen untuk mengambil langkah-langkah yang diperlukan untuk menangani dan mengurangi risiko dengan cepat dan efektif.
  • Kami akan menjaga komunikasi yang terbuka dan transparan dengan Anda sepanjang proses ini. Anda akan terus diinformasikan mengenai perkembangan kami dalam menyelidiki dan menyelesaikan masalah ini, dengan pembaruan rutin yang akan diberikan pada tahap-tahap kunci.

Kecualian

Meskipun kami mendorong pelaporan segala kerentanan keamanan yang ditemukan, harap diperhatikan bahwa tindakan-tindakan berikut ini dilarang secara ketat:

  • Menggunakan pemindaian otomatis yang invasif atau mengganggu terhadap infrastruktur kami.
  • Mengakses, mengunduh, mengubah, atau dengan cara lain mengganggu data dalam akun atau sistem yang tidak Anda miliki atau tidak memiliki izin eksplisit untuk berinteraksi dengannya.
  • Melakukan kegiatan yang secara sengaja mengganggu, merusak, atau mengancam integritas operasional produk kami dan layanan atau sistem terkait.
  • Mengungkapkan kerentanan yang telah diidentifikasi secara publik sebelum kami menyelesaikan masalah tersebut.
  • Melakukan segala bentuk rekayasa sosial, serangan phishing, atau praktik penipuan terhadap karyawan, pengguna, atau infrastruktur kami.
  • Melakukan serangan keamanan fisik terhadap aset Sonova.

Kerentanan yang tidak termasuk dalam cakupan program ini

Program pengungkapan kerentanan ini berfokus pada kerentanan yang terkait dengan produk Sonova, infrastruktur dasar mereka, dan layanan terkait. Oleh karena itu, kerentanan pada situs web kami atau infrastruktur yang menghadap publik saat ini tidak termasuk dalam cakupan program ini.

Untuk memastikan alokasi sumber daya yang efisien dan fokus pada mitigasi kerentanan yang memiliki dampak signifikan, kami menetapkan kategori-kategori berikut sebagai di luar cakupan program pengungkapan kerentanan ini. Pelaporan kerentanan dalam kategori ini mungkin tidak akan menghasilkan pengakuan atau tindakan perbaikan:

  • Pengajuan yang dihasilkan dari alat pemindaian otomatis atau analisis otomatis.
  • Pengamatan terkait algoritma kriptografi SSL/TLS yang lemah dan kerentanan dalam konfigurasi TLS, kecuali jika risiko yang sebenarnya dan dapat dieksploitasi yang spesifik untuk lingkungan kami dapat dibuktikan.
  • Ketidakhadiran langkah-langkah keamanan yang direkomendasikan, penggunaan perpustakaan yang dikenal memiliki kerentanan, atau pesan kesalahan yang detail, kecuali jika pesan-pesan tersebut mencakup jalur eksploitasi yang jelas dan dapat dibuktikan.

Pernyataan Hukum / Perlindungan Hukum

Di Sonova, kami menghargai kontribusi para peneliti keamanan dan menyadari pentingnya upaya mereka dalam meningkatkan keamanan produk kami.

Jika Anda mematuhi pedoman kebijakan pengungkapan kerentanan kami, tindakan Anda akan dianggap sah, dan kami tidak akan mengambil tindakan hukum terhadap Anda. Meskipun kami mendukung penelitian keamanan yang bertanggung jawab, harap diperhatikan bahwa kepatuhan Anda terhadap kebijakan ini tidak membebaskan Anda dari kewajiban mematuhi undang-undang lokal yang berlaku. Jika tindakan hukum diajukan oleh pihak ketiga terkait aktivitas Anda berdasarkan kebijakan ini, harap diketahui bahwa meskipun kami berupaya menjelaskan sifat kepatuhan Anda terhadap kebijakan kami, kami tidak dapat memberikan representasi hukum atau intervensi langsung atas nama Anda.

Hubungi Kami

Untuk pertanyaan atau pengaduan terkait kerentanan keamanan, silakan hubungi layanan pelanggan kami di https://id.sennheiser-hearing.com/pages/contact.