Política de divulgación coordinada de vulnerabilidades

Sonos tiene el compromiso de proteger la privacidad y los datos de nuestros clientes mediante la investigación oportuna y eficiente de posibles vulnerabilidades. Recomendamos a los investigadores de seguridad seguir esta política de divulgación coordinada al informar sobre vulnerabilidades de seguridad. El Equipo de Respuesta a Vulnerabilidades de Seguridad será responsable de recibir y gestionar informes de vulnerabilidades. Esta política se aplica a todas las partes que descubran o informen vulnerabilidades en nuestros productos. Esta política está basada en, y tiene como referencia, determinadas técnicas utilizadas en la norma ISO para Divulgación de Vulnerabilidades ISO/IEC 29147.

Requisitos:

En virtud de esta política, “investigación de vulnerabilidades” significa actividades en las que investigadores de seguridad:

• Notifican al Equipo de Seguridad de Sonos lo antes posible al descubrir una nueva vulnerabilidad de seguridad real o potencial.
• Hacen esfuerzos de buena fe para evitar violaciones de privacidad, salvaguardar la experiencia del usuario, evitar interrupciones en los sistemas de producción y brindar protección contra la destrucción o manipulación de datos. Las pruebas de seguridad que violen alguna ley podrían provocar una posible investigación penal o legal. Consulta la sección Asuntos Jurídicos y Protecciones.
• Mantienen las vulnerabilidades en privado durante el período de divulgación coordinada de vulnerabilidades y le ofrecen a Sonos un plazo de tiempo razonable para solucionar el problema antes de divulgarlo públicamente.

Cobertura de vulnerabilidades:

Esta política cubre todas las vulnerabilidades en las aplicaciones móviles de control, las plataformas y los productos interconectados de Sonos. Esto incluye vulnerabilidades en el firmware, las aplicaciones móviles y los servicios de nube.

Cualquier servicio no enumerado anteriormente de manera explícita, como cualquier servicio conectado, queda excluido y Sonos no autoriza realizar pruebas en él. Además, las vulnerabilidades halladas en sistemas de nuestros proveedores quedan fuera del alcance de esta política y deberán informarse directamente al proveedor según su política de divulgación (si la hubiese). Si no estás seguro de si un sistema está o no dentro del alcance, contáctanos a través de security@sonos.com. Nota: Los Investigadores de Seguridad deberán consultar las políticas de divulgación de vulnerabilidades externas de cualquier servicio interconectado de terceros para determinar el alcance de la autorización de pruebas para esos servicios.

Informe de vulnerabilidades:

Alentamos la divulgación responsable de vulnerabilidades a nuestro Equipo de Respuesta a Vulnerabilidades de Seguridad.
Los informes pueden enviarse de forma anónima.
Las vulnerabilidades pueden informarse enviando un correo electrónico a security@sonos.com con el asunto “Informe de Vulnerabilidad”.

Les pedimos encarecidamente a los investigadores de seguridad que utilicen canales de comunicación cifrados para enviar informes de seguridad. Nuestra clave PGP pública se encuentra aquí.

Los informes deberán incluir la mayor cantidad posible de información. La siguiente información nos ayudará a evaluar los informes enviados lo más rápido posible:

• Descripción del problema y su posible impacto
• Producto(s) y versión(es) de software afectado(s)
• Instrucciones sobre cómo reproducir el problema
• Una Prueba de Concepto (PoC)
• Recomendación de acciones de mitigación o solución, según corresponda

Qué puedes esperar de parte nuestra:

• Una vez informada una vulnerabilidad, las partes externas pueden esperar recibir una confirmación de recepción de su informe en un plazo de 3 días hábiles.
• Mantendremos informadas a las partes externas sobre el estado de su informe cada 2 a 3 semanas durante su proceso de gestión; esto incluye el envío de un aviso cuando se haya resuelto la vulnerabilidad.
• Le asignaremos un nivel de gravedad a la vulnerabilidad y le daremos prioridad según el riesgo que represente para la privacidad y los datos de nuestros clientes.

Reconocimientos:

Aunque actualmente no contamos con un programa de recompensas por informes de errores para investigadores de seguridad externos, sí tenemos un lugar para reconocer y agradecer la divulgación responsable en nuestra Página de Reconocimiento a Investigadores de Seguridad.

Asuntos Jurídicos y Protecciones:

Tenemos el compromiso de proteger a quienes informan vulnerabilidades de buena fe. No tomaremos acciones legales contra individuos que informen vulnerabilidades de conformidad con esta política. A menos que la persona informante solicite expresamente que se le reconozca, mantendremos la confidencialidad de su identidad salvo que la ley exija lo contrario.

Conclusión:

Creemos que la divulgación responsable es fundamental para proteger la privacidad y los datos de nuestros clientes. Esta política establece nuestro compromiso de abordar las vulnerabilidades de forma oportuna y eficiente. Alentamos a todas las partes a informar vulnerabilidades a nuestro Equipo de Respuesta a Vulnerabilidades de Seguridad y a trabajar con nosotros para proteger a nuestros clientes.