Retningslinjer for koordinert avsløring av sårbarheter

Sonos forplikter seg til å beskytte våre kunders opplysninger og personvern ved å håndtere sårbarhetsforskning på en rettidig og effektiv måte. Vi anbefaler at sikkerhetsforskere følger disse retningslinjene for koordinert avsløring når de rapporterer sikkerhetssårbarheter. Security Vulnerability Response Team vil være ansvarlige for å motta og håndtere rapporter om sårbarheter. Disse retningslinjene gjelder parter som oppdager eller rapporterer sårbarheter i produktene våre. Disse retningslinjene er basert på og henviser til teknikker som brukes i ISO-standarden for avsløring av sårbarheter: ISO/IEC 29147.

Krav:

I disse reglene betyr «sårbarhetsforskning» aktiviteter der sårbarhetsforskere:

• Varsler Sonos Security Team så snart som mulig etter at en faktisk/mulig sikkerhetssårbarhet er oppdaget.
• Gjør en innsats i god tro for å unngå brudd på personvern, bevare brukeropplevelsen, forhindre forstyrrelser i produksjonssystemer og beskytte mot at data ødelegges eller manipuleres. Sikkerhetstesting som bryter eventuelle lover kan føre til mulig kriminelle eller juridiske undersøkelser. Se avsnittet om Juridisk informasjon og beskyttelse.
• Holder sårbarhetene private i tidsrommet for koordinert avsløring av sårbarheter, slik at Sonos får rimelig tid til å løse problemet før det offentliggjøres.

Dekning av sårbarheter:

Disse retningslinjene dekker alle sårbarheter i Sonos’ sammenkoblede produkter, plattformer og mobilapplikasjonene som styrer dem. Dette inkluderer sårbarheter i fastvaren, mobilapplikasjonene og skytjenester.

Alle tjenester som ikke uttrykkelig er angitt ovenfor, slik som eventuelle tilkoblede tjenester, er utenfor omfanget og er ikke godkjent for testing av Sonos. Dessuten faller sårbarheter som blir funnet i systemer fra våre leverandører, utenfor omfanget av disse retningslinjene, og bør rapporteres direkte til leverandøren i henhold til deres retningslinjer for avsløring (hvis de har slike). Hvis du ikke er sikker på om et system omfattes eller ikke, kontakt oss på security@sonos.com. Merk: Sikkerhetsforskere bør lese eksterne retningslinjer for avsløring av sårbarheter fra eventuelle tredjeparts sammenkoblede tjenester for å fastslå hva som er godkjent testomfang for disse tjenestene.

Rapportering av sårbarhet:

Vi oppmuntrer til at sårbarheter avsløres på ansvarlig vis til vårt Security Vulnerability Response Team.
Rapporter kan sendes inn anonymt.
Sårbarheter kan rapporteres ved å sende en e-post til security@sonos.com med emnet «Vulnerability Report».

Vi anbefaler på det sterkeste at sikkerhetsforskere bruker krypterte kommunikasjonskanaler for å sende inn sikkerhetsrapporter. Den offentlige PGP-nøkkelen vår finner du her.

Rapporter bør inneholde så mye informasjon som mulig. Følgende informasjon vil hjelpe oss med å vurdere innsendingen din så raskt som mulig:

• Beskrivelse av problemet og potensielle konsekvenser
• Produkt(er) og programvareversjon(er) som påvirkes
• Instruksjoner for hvordan problemet skal gjenskapes
• Et proof-of-concept (PoC)
• Forslag til avbøtende eller utbedrende tiltak, etter behov

Hva du kan forvente fra oss:

• Etter at en sårbarhet er rapportert, kan eksterne parter forvente en kvittering på rapporten innen 3 arbeidsdager.
• Vi vil holde eksterne parter informert om status på rapporten deres hver 2.–3. uke gjennom hele prosessen, inkludert når sårbarheten har blitt avverget.
• Vi vil tilordne sårbarheten en alvorlighetsgrad og prioritere den i henhold til risikoen den utgjør for våre kunders opplysninger og personvern.

Anerkjennelse:

Selv om vi for øyeblikket ikke har et belønningsprogram for eksterne sikkerhetsforskere, har vi et sted for å anerkjenne ansvarlig avsløring med siden Security Researcher Recognition Page.

Juridisk informasjon og beskyttelse:

Vi påtar oss å beskytte de som rapporterer sårbarheter i god tro. Vi vil ikke ta juridiske skritt mot enkeltpersoner som rapporterer sårbarheter i samsvar med disse retningslinjene. Med mindre den rapporterende uttrykkelig ber om anerkjennelse, vil vi holde deres identitet konfidensiell, med mindre det finnes lovgivning som krever noe annet.

Konklusjon:

Vi er av den oppfatning at ansvarlig avsløring er svært viktig for å beskytte kundenes opplysninger og personvern. Disse reglene beskriver vår forpliktelse til å håndtere sårbarhet på en rettidig og effektiv måte. Vi oppfordrer alle parter om å rapportere sårbarheter til vårt Security Vulnerability Response-team og samarbeide med oss om å beskytte kundene våre.