引言
在索諾瓦,我們致力於確保產品及相關服務的安全性與韌性。我們理解儘管竭盡全力,漏洞仍可能存在。我們鼓勵所有人士舉報與產品、底層軟體或基礎設施相關的疑似漏洞或安全疑慮,包括安全研究人員、客戶與終端消費者、電腦緊急應變小組(CERT)、產業團體、合作夥伴及所有其他利害關係人。
提交報告前,請詳閱本政策並確保您的行為符合其規範。
漏洞通報
我們懇請任何發現本公司產品或相關服務中潛在安全漏洞的人士,盡快透過我們的客戶服務機構向我們通報。
提交報告時,請遵循以下指引:
- 請提供潛在漏洞的詳細資訊,包括清晰的描述及重現該發現的步驟。報告發現的範本請參閱附件。
- 請避免任何可能損害我們產品、服務或資料機密性、完整性、可用性或安全性的行為。請勿造成任何實質損害、竄改資料、濫用權限提升行為,或下載超出驗證漏洞所需範圍的資料。
- 在我們完成調查並實施必要措施之前,請對您的發現結果嚴格保密。此舉有助於保護我們的用戶,並確保安全問題獲得妥善處理。
- 請事先告知我們您打算公開披露該漏洞的意圖。
- 請提供您的聯絡方式,例如電子郵件地址或電話號碼,以便我們後續與您聯繫進行進一步調查。
我們的承諾
收到安全漏洞報告後,索諾瓦承諾採取以下措施:
- 我們將確認收到您的報告,並告知您的提交資料已成功送達且正在處理中。
- 我們的專責安全團隊將對所通報的漏洞進行徹底調查。為確保全面理解該漏洞,我們可能會聯繫您以獲取進一步資訊或澄清說明。
- 我們根據漏洞的嚴重程度與複雜性,優先處理已通報的漏洞。團隊致力採取必要措施,迅速有效地應對並降低風險。
- 我們將在整個過程中與您保持開放且透明的溝通。您將隨時掌握我們調查與解決問題的進展,我們將在關鍵階段定期提供最新資訊。
除外事項
雖然我們鼓勵回報任何發現的安全漏洞,但請注意以下行為嚴格禁止:
- 對我們的基礎設施進行侵入性或破壞性的自動化掃描。
- 存取、下載、修改或以其他方式干擾您未擁有或未獲明確許可互動之帳戶或系統中的資料。
- 進行任何蓄意破壞、損害或威脅本公司產品及相關服務或系統運作完整性的活動。
- 在我們解決問題之前,向公眾披露已識別出的漏洞。
- 對我們的員工、用戶或基礎設施進行任何形式的社會工程、釣魚攻擊或欺騙行為。
- 對索諾瓦資產實施實體安全攻擊。
本計劃範圍外的漏洞
本漏洞披露計劃專注於與索諾瓦產品、其基礎架構及相關服務相關的漏洞。因此,目前本計劃範圍不包含我們網站或對外公開基礎架構上的漏洞。
為有效分配資源並聚焦於緩解影響重大的漏洞,我們將下列類別定義為本漏洞披露計劃的範圍外事項。舉報此類漏洞可能不會獲得確認或修復措施:
- 由自動化掃描工具或自動化分析產生的提交內容。
- 關於弱SSL/TLS加密演算法及TLS設定漏洞的觀察,除非能證明存在實際可被利用且特定於我們環境的風險。
- 未實施建議的安全措施、採用已知存在漏洞的函式庫,或未提供詳細錯誤訊息(除非這些訊息包含明確可驗證的漏洞利用途徑)。
法律聲明/安全港條款
在索諾瓦,我們重視資安研究人員的貢獻,並認可其在提升產品安全性方面所付出的努力。
若您遵守我們的漏洞披露政策指引,您的行為將被視為獲授權,我們亦不會對您採取法律行動。雖然我們支持負責任的安全研究,但請注意:遵循本政策並不免除您遵守任何適用當地法律的義務。 若第三方針對您依本政策進行之活動提起法律訴訟,請知悉:我們雖致力釐清您遵循本政策的性質,但無法為您提供法律代理或直接介入訴訟。
聯絡我們
若對任何安全漏洞有疑問或需提交相關資訊,請聯繫我們的客服信箱:https://hk.sennheiser-hearing.com/pages/contact。