Politica di divulgazione coordinata delle vulnerabilità
Sonos si impegna a proteggere i dati e la privacy dei propri clienti rispondendo rapidamente e in modo efficiente alle segnalazioni di vulnerabilità. Consigliamo agli analisti di sicurezza che intendono segnalare una vulnerabilità di seguire le indicazioni della presente politica per la divulgazione coordinata. Il team di risposta alle vulnerabilità in termini di sicurezza sarà incaricato di ricevere e gestire le segnalazioni. La presente politica, che si rivolge alle parti che rilevano o segnalano vulnerabilità nei nostri prodotti, si basa sulle tecniche adottate nello standard ISO/IEC 29147 per la divulgazione delle vulnerabilità e rimanda a esso.
Requisiti:
Nella presente politica, per “analisi delle vulnerabilità” si intendono le attività con cui gli analisti di sicurezza:
- Dopo aver individuato una vulnerabilità potenziale o effettiva, la segnalano quanto prima al team Sonos addetto alla sicurezza.
- Si impegnano in buona fede a evitare violazioni della privacy, a non interferire negativamente con l’esperienza utente, a impedire che si verifichino interruzioni nell’operatività dei sistemi di produzione e a prendere i provvedimenti necessari per evitare la manipolazione o la distruzione dei dati. I test condotti per individuare vulnerabilità in termini di sicurezza che violano la legge possono comportare l’avvio di procedure legali o penali. Consulta la sezione Aspetti e tutele legali.
- Mantengono riservate le vulnerabilità durante il periodo stabilito per la divulgazione coordinata delle vulnerabilità e garantiscono a Sonos un lasso di tempo sufficiente per risolvere il problema prima che sia reso pubblico.
Descrizione delle vulnerabilità:
La presente politica riguarda tutte le vulnerabilità dei prodotti interconnessi, delle piattaforme e delle applicazioni di controllo per dispositivi mobili Sonos, comprese le vulnerabilità del firmware, delle applicazioni per dispositivi mobili e dei servizi cloud.
Tutti i servizi non elencati esplicitamente sopra, inclusi tutti i servizi collegati, sono esclusi dall’ambito di questa politica e Sonos non autorizza test di sicurezza su di essi. Inoltre, non sono comprese nell’ambito di questa politica le vulnerabilità individuate nei sistemi dei nostri fornitori, che dovranno essere segnalate direttamente a questi ultimi secondo quanto eventualmente stabilito dalla loro politica di divulgazione. Se non sai se un sistema è compreso nell’ambito della presente politica, puoi contattare Sonos all’indirizzo security@sonos.com. Nota: gli analisti di sicurezza devono consultare le politiche di divulgazione delle vulnerabilità dei servizi di terze parti collegati per determinare l’ambito in cui possono essere effettuati test di sicurezza per tali servizi.
Tutti i servizi non elencati esplicitamente sopra, inclusi tutti i servizi collegati, sono esclusi dall’ambito di questa politica e Sonos non autorizza test di sicurezza su di essi. Inoltre, non sono comprese nell’ambito di questa politica le vulnerabilità individuate nei sistemi dei nostri fornitori, che dovranno essere segnalate direttamente a questi ultimi secondo quanto eventualmente stabilito dalla loro politica di divulgazione. Se non sai se un sistema è compreso nell’ambito della presente politica, puoi contattare Sonos all’indirizzo security@sonos.com. Nota: gli analisti di sicurezza devono consultare le politiche di divulgazione delle vulnerabilità dei servizi di terze parti collegati per determinare l’ambito in cui possono essere effettuati test di sicurezza per tali servizi.
Segnalazione delle vulnerabilità:
Invitiamo a segnalare le vulnerabilità in modo responsabile al team di risposta alle vulnerabilità in termini di sicurezza.
Le segnalazioni possono essere effettuate in forma anonima.
Le vulnerabilità possono essere segnalate inviando un’e-mail all’indirizzo security@sonos.com con oggetto: “Segnalazione di vulnerabilità”.
Consigliamo vivamente agli analisti di sicurezza di utilizzare i canali di comunicazione crittografati per inviare le segnalazioni sulla sicurezza. La chiave pubblica PGP Sonos è disponibile qui.
Le segnalazioni devono essere quanto più dettagliate possibile. Le seguenti informazioni ci aiuteranno a valutare quanto ricevuto nel modo più rapido possibile:
Le segnalazioni possono essere effettuate in forma anonima.
Le vulnerabilità possono essere segnalate inviando un’e-mail all’indirizzo security@sonos.com con oggetto: “Segnalazione di vulnerabilità”.
Consigliamo vivamente agli analisti di sicurezza di utilizzare i canali di comunicazione crittografati per inviare le segnalazioni sulla sicurezza. La chiave pubblica PGP Sonos è disponibile qui.
Le segnalazioni devono essere quanto più dettagliate possibile. Le seguenti informazioni ci aiuteranno a valutare quanto ricevuto nel modo più rapido possibile:
- Descrizione del problema e possibili conseguenze
- Versioni dei prodotti e del software oggetto della segnalazione
- Istruzioni per riprodurre il problema
- Modello di verifica
- Eventuali azioni da intraprendere per mitigare o correggere il problema
Che cosa offriamo:
- Una volta effettuata la segnalazione di una vulnerabilità, la conferma della ricezione della segnalazione avverrà entro 3 giorni lavorativi.
- Durate il processo di analisi, ogni due o tre settimane, informeremo chi ha effettuato la segnalazione circa lo stato della vulnerabilità e se è stata corretta.
- Assegneremo un livello di criticità a ogni vulnerabilità, privilegiando quelle che presentano un rischio maggiore per la privacy e per la sicurezza dei dati dei nostri clienti.
Riconoscimenti:
Anche se per il momento non abbiamo un programma che premia la segnalazione di bug da parte degli analisti di sicurezza esterni, dimostriamo la nostra riconoscenza a chi ha segnalato una vulnerabilità in maniera responsabile nella Pagina di ringraziamento agli analisti di sicurezza.
Aspetti e tutele legali:
Sonos si impegna a proteggere chi segnala le vulnerabilità in modo responsabile; non intraprenderemo azioni legali nei confronti di chi segnala una vulnerabilità rispettando quanto indicato nella presente politica. Se il riconoscimento non è richiesto esplicitamente e se non costituisce un obbligo di legge, manterremo anonima l’identità di chi effettua la segnalazione.
Conclusione:
Riteniamo che divulgare in modo responsabile le vulnerabilità sia essenziale per proteggere i dati e la privacy dei nostri clienti. Questa politica descrive il nostro impegno nel risolvere le vulnerabilità rapidamente e in modo efficiente. Invitiamo tutti a segnalare le vulnerabilità al nostro team di risposta alle vulnerabilità in termini di sicurezza e a collaborare per tutelare i nostri clienti.