はじめに

Sonova では、当社製品および関連サービスのセキュリティと回復力の確保に全力を尽くしています。私たちの努力にもかかわらず、脆弱性が発生する可能性があることを理解しています。当社製品やその基盤となるソフトウェア、インフラストラクチャーに関連する脆弱性やセキュリティ上の懸念が疑われる場合は、どなたでもご報告ください。これには、セキュリティ研究者、顧客およびエンドユーザー、CERT(コンピュータ緊急対応チーム)、業界団体、パートナー、その他すべての利害関係者が含まれます。

報告書を提出する前に、本ポリシーをよく読み、自分の行動がガイドラインに沿ったものであることを確認してください。

脆弱性の報告

当社の製品または関連サービスに潜在的なセキュリティ脆弱性を発見されたとお考えの方は、当社のカスタマーサービス組織を通じて、速やかにご報告くださいますようお願いいたします。

レポートを提出する際は、以下のガイドラインに従ってください:

  • その発見を再現するための明確な説明と手順を含め、潜在的な脆弱性に関する詳細情報を提供すること。発見を報告するためのテンプレートは付属書にあります。
  • 当社の製品やサービス、データの機密性、完全性、可用性、安全性に害を及ぼす可能性のある行為は避けてください。重大な損害の発生、データの改ざん、特権の昇格の乱用、脆弱性の実証に必要な以上のデータのダウンロードはご遠慮ください。
  • 当社が調査を完了し、必要な対策を実施するまでは、調査結果の機密を保持すること。これは、当社のユーザーを保護し、セキュリティ問題の責任ある処理を保証するのに役立ちます。
  • 脆弱性を公表する意図を事前にお知らせください。
  • さらなる調査のため、Eメールアドレスや電話番号などの連絡先をお知らせください。

私たちのコミットメント

セキュリティ脆弱性の報告を受け、ソノヴァは以下のことにコミットします:

  • 提出された報告書が受領され、処理中であることを確認し、報告書の受領を通知します。
  • 当社の専任のセキュリティチームが、報告された脆弱性について徹底的な調査を行います。脆弱性の包括的な理解を確実にするため、さらに詳しい情報や説明を求めてご連絡を差し上げる場合があります。
  • 報告された脆弱性については、その重大性と複雑性に基づいて解決の優先順位を決定します。当社のチームは、迅速かつ効果的にリスクに対処し、軽減するために必要な措置を講じることをお約束します。
  • 当社は、プロセス全体を通じて、お客様とのオープンで透明性のあるコミュニケーションを維持します。重要な段階で定期的に最新情報を提供し、問題の調査および解決の進捗状況をお知らせします。

除外事項

セキュリティの脆弱性が発見された場合、報告することを奨励しますが、以下の行為は固く禁じられていますのでご注意ください:

  • 当社のインフラストラクチャに対して侵略的または破壊的な自動スキャンを使用すること。
  • お客様が所有していない、または対話する明確な許可を得ていないアカウントまたはシステムのデータにアクセス、ダウンロード、変更、またはその他の方法で干渉すること。
  • 当社製品および関連サービスやシステムの運用の完全性を意図的に混乱させたり、低下させたり、脅かしたりする行為を行うこと。
  • 当社が解決する前に、特定された脆弱性を公衆の面前で公表すること。
  • 当社の従業員、ユーザー、またはインフラストラクチャに対して、ソーシャルエンジニアリング、フィッシング攻撃、または欺瞞的な行為を行うこと。
  • ソノヴァの資産に対する物理的なセキュリティ攻撃を行う。

本プログラムの対象外の脆弱性

この脆弱性開示プログラムは、Sonova 製品やその基礎となるインフラ、関連サービスに関連する脆弱性に重点を置いています。そのため、当社のウェブサイトや一般に公開されているインフラにおける脆弱性は、現在のところ本プログラムの対象外となります。

リソースの効率的な配分を可能にし、重大な影響を及ぼす脆弱性の緩和に集中するため、この脆弱性開示プログラムでは、以下のカテゴリを対象外と定義します。これらを報告しても、承認や改善措置が行われない可能性があります:

  • 自動スキャンツールまたは自動分析による提出物。
  • 脆弱なSSL/TLS暗号アルゴリズムとTLSセットアップの脆弱性に関する観察。ただし、私たちの環境に特有な、実際に悪用可能なリスクが実証された場合を除く。
  • 推奨されるセキュリティ対策、脆弱性が知られているライブラリの実装、詳細なエラーメッセージがない。

法的声明 / セーフハーバー

ソノヴァでは、セキュリティ研究者の貢献を重視し、当社製品のセキュリティ強化における彼らの努力の重要性を認識しています。

あなたが当社の脆弱性開示ポリシーのガイドラインを遵守する場合、あなたの行為は承認されたものとみなされ、当社はあなたに対して法的措置を開始することはありません。当社は責任あるセキュリティ研究を支持しますが、本ポリシーを遵守することで、適用される現地の法律の遵守が免除されるわけではないことにご留意ください。本ポリシーに基づく利用者の活動に関連して第三者から法的措置が開始された場合、当社は利用者の本ポリシー遵守の本質を明らかにすることを目的としていますが、利用者に代わって法的代理または直接介入に関与することはできませんのでご了承ください。

お問い合わせ

セキュリティの脆弱性に関するご質問やご提出については、カスタマーサービス(https://www.sennheiser-hearing.com/contact/)までお問い合わせください。