Politik for koordineret offentliggørelse af sikkerhedsrisici
Sonos er forpligtet til at beskytte vores kunders data og privatliv ved at adressere forskning i sikkerhedsrisici rettidigt og effektivt. Vi anbefaler sikkerhedsforskere at følge denne koordinerede offentliggørelsespolitik, når de indberetter sikkerhedsrisici. Teamet med ansvar for at reagere på sikkerhedsrisici modtager og behandler indberetninger om sikkerhedsrisici. Denne politik gælder for parter, der opdager eller indberetter sikkerhedsrisici i vores produkter. Denne politik er baseret på og henviser til teknikker, der anvendes i ISO-standarden for offentliggørelse af sikkerhedsrisici ISO/IEC 29147.
Krav:
I henhold til denne politik betyder "sikkerhedsrisikosforskning" aktiviteter, hvor sikkerhedsforskere:
- underretter Sonos' sikkerhedsteam hurtigst muligt efter en ny opdagelse af en reel/potentiel sikkerhedsrisiko.
- bestræber sig på i god tro at undgå krænkelse af privatlivets fred, bevare brugeroplevelsen, forhindre forstyrrelser i produktionssystemer og beskytte mod ødelæggelse eller manipulation af data. Sikkerhedstests, der overtræder en lov, kan medføre kriminel eller juridisk efterforskning. Se afsnittet Juridiske spørgsmål og beskyttelse.
- holder sikkerhedsrisici private inden for tidsrammen for den koordinerede offentliggørelse af sikkerhedsrisici og samtidig giver Sonos rimelig tid til at løse problemet før offentliggørelse.
Dækning af sikkerhedsrisici:
Denne politik dækker alle sikkerhedsrisici i Sonos' tilsluttede produkter, platforme og styrende mobilapplikationer. Dette omfatter sikkerhedsrisici i firmwaren, mobilapplikationer og skytjenester.
Alle tjenester, der ikke udtrykkeligt er nævnt ovenfor, f.eks. tilknyttede tjenester, omfattes ikke og er ikke godkendt til test af Sonos. Derudover omfattes sikkerhedsrisici, der findes i systemer fra vores leverandører, ikke af denne politik og skal indberettes direkte til leverandøren i henhold til dennes eventuelle politik for offentliggørelse. Hvis du ikke er sikker på, om et system er omfattet, bedes du kontakte os på security@sonos.com. Bemærk: Sikkerhedsforskere skal læse politikkerne for ekstern offentliggørelse af sikkerhedsrisici for enhver tredjeparts tilknyttede tjenester for at afgøre det godkendte testomfang for disse tjenester.
Alle tjenester, der ikke udtrykkeligt er nævnt ovenfor, f.eks. tilknyttede tjenester, omfattes ikke og er ikke godkendt til test af Sonos. Derudover omfattes sikkerhedsrisici, der findes i systemer fra vores leverandører, ikke af denne politik og skal indberettes direkte til leverandøren i henhold til dennes eventuelle politik for offentliggørelse. Hvis du ikke er sikker på, om et system er omfattet, bedes du kontakte os på security@sonos.com. Bemærk: Sikkerhedsforskere skal læse politikkerne for ekstern offentliggørelse af sikkerhedsrisici for enhver tredjeparts tilknyttede tjenester for at afgøre det godkendte testomfang for disse tjenester.
Indberetning af sikkerhedsrisici:
Vi modtager gerne rapporter om eventuelle sikkerhedsrisici til vores team med ansvar for at reagere på sikkerhedsrisici.
Indberetninger kan indsendes anonymt.
Sikkerhedsrisici kan indberettes ved at sende en e-mail til security@sonos.com med emnet "Vulnerability Report".
Vi opfordrer kraftigt sikkerhedsforskere til at bruge de krypterede kommunikationskanaler til at indsende sikkerhedsindberetninger. Vores offentlige PGP-nøgle kan findes her.
Indberetninger bør indeholde så mange oplysninger som muligt. Følgende oplysninger vil hjælpe os med at evaluere din indsendelse så hurtigt som muligt:
Indberetninger kan indsendes anonymt.
Sikkerhedsrisici kan indberettes ved at sende en e-mail til security@sonos.com med emnet "Vulnerability Report".
Vi opfordrer kraftigt sikkerhedsforskere til at bruge de krypterede kommunikationskanaler til at indsende sikkerhedsindberetninger. Vores offentlige PGP-nøgle kan findes her.
Indberetninger bør indeholde så mange oplysninger som muligt. Følgende oplysninger vil hjælpe os med at evaluere din indsendelse så hurtigt som muligt:
- Beskrivelse af problemet og dets potentielle indvirkning
- Berørt(e) produkt(er) og softwareversion(er)
- Instruktioner til, hvordan man reproducerer problemet
- Et proof-of-concept (PoC)
- Forslag til afhjælpende eller korrigerende foranstaltninger, hvis det er relevant
Hvad du kan forvente af os:
- Efter indberetning af en sikkerhedsrisiko kan eksterne parter forvente at modtage en bekræftelse på deres indberetning inden for 3 hverdage.
- Vi holder eksterne parter informeret om status på deres indberetning hver 2.-3. uge i hele behandlingsprocessen, også når sikkerhedsrisikoen er blevet afhjulpet.
- Vi tildeler en alvorlighedsgrad til sikkerhedsrisikoen og prioriterer den ud fra den sikkerhedsrisiko, den udgør for vores kunders data og privatliv.
Anerkendelse:
Selvom vi i øjeblikket ikke har et fejldusørprogram for eksterne sikkerhedsforskere, har vi med vores Anerkendelsesside for sikkerhedsforskere et sted til anerkendelse af ansvarlig afsløring.
Juridiske spørgsmål og beskyttelse:
Vi forpligter os til at beskytte dem, der indberetter sikkerhedsrisici i god tro. Vi vil ikke tage retslige skridt mod personer, der indberetter sikkerhedsrisici i overensstemmelse med denne politik. Medmindre den indberettende person udtrykkeligt anmoder om anerkendelse, vil vi opretholde fortroligheden af vedkommendes identitet, medmindre andet kræves af loven.
Konklusion:
Vi mener, at ansvarlig offentliggørelse er afgørende for at beskytte vores kunders data og privatliv. Denne politik beskriver vores bestræbelser på at adressere sikkerhedsrisici rettidigt og effektivt. Vi opfordrer alle parter til at indberette sikkerhedsrisici til vores team med ansvar for at reagere på sikkerhedsrisici og at samarbejde med os om at beskytte vores kunder.