Política coordinada de divulgación de vulnerabilidades

En Sonos nos comprometemos a proteger los datos y la privacidad de nuestros usuarios con una investigación de vulnerabilidades de forma eficaz y oportuna. Recomendamos a los investigadores de seguridad que sigan esta política coordinada de divulgación cuando nos informen de las vulnerabilidades en materia de seguridad. El Equipo de Respuesta a Vulnerabilidades de Seguridad se hará cargo de recibir y controlar los informes sobre vulnerabilidades. Esta política se aplica a los interesados que descubran o nos informen sobre vulnerabilidades en nuestros productos. Esta política se basa y hace referencia a técnicas utilizadas en la norma ISO de Divulgación de la vulnerabilidad ISO/IEC 29147.

Requisitos:

En esta política, «investigación de vulnerabilidades» hace referencia a actividades en las cuales los investigadores de seguridad:

• Notifican lo antes posible al Equipo de Seguridad de Sonos los nuevos hallazgos relacionados con una vulnerabilidad de seguridad real o potencial.
• Hacen un esfuerzo de buena fe para evitar violaciones de la privacidad, preservar la experiencia del usuario, evitar interrupciones en los sistemas de producción y procurar no destruir o manipular datos. Realizar pruebas de seguridad que violen alguna ley podría derivar en una posible investigación penal o legal. Consulta la sección Problemas legales y protecciones.
• Mantienen las vulnerabilidades en privado durante el periodo de divulgación coordinada de vulnerabilidades a la vez que dan a Sonos un periodo de tiempo razonable para resolver el problema antes de hacerlas públicas.

Cobertura de vulnerabilidades:

Esta política abarca todas las vulnerabilidades en los productos, plataformas y aplicaciones móviles interconectados de Sonos. Esto incluye vulnerabilidades en el firmware, aplicaciones móviles y servicios en la nube.

Cualquier otro servicio no incluido expresamente, como los servicios conectados, queda excluido de nuestra competencia y Sonos no tiene autorización para realizar pruebas. Adicionalmente, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera de la competencia de esta política y deberán comunicarse directamente al proveedor de acuerdo con su política de divulgación (si la tuviera). Si no tienes claro si un sistema es o no de nuestra competencia, ponte en contacto con nosotros a través del correo security@sonos.com. Nota: los investigadores de seguridad deberán consultar las políticas de divulgación de vulnerabilidades del servicio interconectado de dicho tercero para determinar la competencia de la realización de pruebas autorizada de estos servicios.

Comunicación de vulnerabilidades:

Animamos a realizar una divulgación responsable de vulnerabilidades a nuestro Equipo de Respuesta a Vulnerabilidades de Seguridad.
Los informes pueden enviarse de forma anónima.
Puedes informar de las vulnerabilidades enviando un correo electrónico a security@sonos.com con el asunto «Informe de vulnerabilidades».

Recomendamos encarecidamente a los investigadores de seguridad que utilicen los canales de comunicación encriptados para enviar sus informes de seguridad. Puedes encontrar nuestra clave PGP pública aquí.

Los informes deben incluir la mayor cantidad de información posible. La siguiente información nos ayudará a evaluar tu informe lo antes posible:

• Descripción del problema y su posible impacto
• Producto(s) y versión(es) de software afectado(s)
• Instrucciones sobre cómo reproducir el problema
• Prueba de concepto (PoC)
• Solución o medidas de reparación sugeridas, cuando proceda

Lo que puedes esperar de nosotros:

• Después de informar sobre una vulnerabilidad, los agentes externos recibirán un acuse de recibo de su informe en un plazo de tres días hábiles.
• Mantendremos informados a los agentes externos sobre el estado de su informe cada dos o tres semanas a lo largo de todo el proceso de tramitación, incluyendo el momento en que la vulnerabilidad haya sido solucionada.
• Asignaremos un nivel de severidad a la vulnerabilidad y la priorizaremos según el riesgo que suponga para los datos y la privacidad de nuestros usuarios.

Reconocimientos:

Aunque actualmente no contamos con un programa de recompensas por informes de errores para investigadores de seguridad externos, sí tenemos un lugar para reconocer y agradecer la divulgación responsable en nuestra página de Reconocimiento a los investigadores de seguridad.

Problemas legales y protecciones:

Nos comprometemos a proteger a aquellos que nos informan de nuestras vulnerabilidades de buena fe. No iniciaremos acciones judiciales contra aquellos que informan de las vulnerabilidades de acuerdo con esta política. A menos que el informante solicite un reconocimiento explícito, mantendremos su identidad confidencial siempre que la legislación lo permita.

Conclusión:

Creemos que divulgar de forma responsable es vital para la protección de los datos y la privacidad de nuestros usuarios. Esta política perfila nuestro compromiso por tratar las vulnerabilidades de forma eficaz y oportuna. Animamos a todas las partes a informar sobre vulnerabilidades a nuestro Equipo de Respuesta a Vulnerabilidades de Seguridad y a trabajar codo con codo con nosotros para proteger a nuestros usuarios.