Skoordynowana polityka dotycząca ujawniania luk w zabezpieczeniach

Sonos angażuje się w ochronę danych i prywatności klientów poprzez skuteczne i terminowe rozwiązywanie problemów z lukami w zabezpieczeniach. Polecamy ekspertom z dziedziny bezpieczeństwa przestrzeganie niniejszej skoordynowanej polityki podczas zgłaszania luk w zabezpieczeniach. Zespół ds. reagowania na luki w zabezpieczeniach jest odpowiedzialny za przyjmowanie i rozpatrywanie raportów dotyczących luk w zabezpieczeniach. Niniejsza polityka ma zastosowanie do stron, które wykryją lub zgłoszą luki w zabezpieczeniach naszych produktów. Niniejsza polityka bazuje na technikach określonych w standardzie ISO dotyczącym ujawniania luk w zabezpieczeniach ISO/IEC 29147 i odwołuje się do tych technik.

Wymagania:

Zgodnie z niniejszą polityką „badania dotyczące luk w zabezpieczeniach” oznaczają działania ekspertów w dziedzinie bezpieczeństwa, w ramach których:

• Niezwłocznie powiadamiają oni zespół ds. reagowania na luki w zabezpieczeniach o wykryciu nowej faktycznej/potencjalnej luki w zabezpieczeniach.
• Dokładają wszelkich starań, aby uniknąć naruszeń prywatności, zachować jakość usług, zapobiec zakłóceniom w systemach produkcji i chronić przed zniszczeniem danych lub manipulacją danymi. Testowanie zabezpieczeń naruszające jakiekolwiek przepisy prawa może prowadzić do wszczęcia postępowania karnego lub dochodzeń prawnych. Patrz sekcja Kwestie prawne i środki ochrony.
• Nie należy ujawniać luk w zabezpieczeniach w skoordynowanych ramach czasowych ujawniania luk w zabezpieczeniach, dając firmie Sonos rozsądną ilość czasu na rozwiązanie problemu przed jego publicznym ujawnieniem.

Zgłaszanie luk w zabezpieczeniach:

Niniejsza polityka dotyczy wszystkich luk w zabezpieczeniach we wzajemnie połączonych produktach, platformach i aplikacjach mobilnych Sonos. Obejmuje to luki w zabezpieczeniach sprzętu, aplikacji mobilnych i usług chmurowych.

Wszelkie usługi niewymienione powyżej, takie jak usługi połączone, pozostają poza zakresem niniejszego dokumentu i nie są zatwierdzone do testowania przez Sonos. Co więcej, luki w zabezpieczeniach wykryte w systemach naszych dostawców pozostają poza zakresem niniejszej polityki i należy je zgłaszać bezpośrednio danemu dostawcy zgodnie z jego polityką dotyczącą zgłaszania luk (jeśli taka istnieje). W przypadku braku pewności, czy system jest objęty niniejszą polityką, prosimy o kontakt pod adresem security@sonos.com. Uwaga: Eksperci w dziedzinie bezpieczeństwa powinni zapoznać się z zewnętrznymi politykami dotyczącymi ujawniania luk w zabezpieczeniach wzajemnie połączonych usług stron trzecich w celu ustalenia zakresu dozwolonego testowania tych usług.

Zgłaszanie luk w zabezpieczeniach:

Zachęcamy do odpowiedzialnego zgłaszania luk w zabezpieczeniach naszemu zespołowi ds. reagowania na luki w zabezpieczeniach.
Raport można przesłać anonimowo.
Luki w zabezpieczeniach można zgłaszać, przesyłając wiadomość e-mail na security@sonos.com. Temat wiadomości powinien brzmieć „Vulnerability Report”.

Gorąco zachęcamy ekspertów w dziedzinie bezpieczeństwa do przesyłania raportów dotyczących zabezpieczeń za pomocą szyfrowanych kanałów komunikacji. Nasz klucz publiczny PGP można znaleźć tutaj.

Raporty powinny obejmować możliwie jak najwięcej informacji. Poniższe informacje pomogą nam możliwie najszybciej przeanalizować zgłoszenie:

• Opis problemu i jego potencjalne następstwa
• Produkty i wersje oprogramowania, których dotyczy problem
• Instrukcje dotyczące odtworzenia problemu
• Praktyczne potwierdzenie istnienia problemu
• Sugestia dotycząca złagodzenia ryzyka lub działania naprawcze, w stosownych przypadkach

Czego możesz od nas oczekiwać:

• Po zgłoszeniu luki w zabezpieczeniach strony zewnętrzne mogą oczekiwać otrzymania potwierdzenia przesłania raportu w ciągu 3 dni roboczych.
• Będziemy informować strony zewnętrzne o statusie raportu co 2–3 tygodnie w ramach procesu rozpatrywania, w tym także po usunięciu luki w zabezpieczeniach.
• Przypiszemy poziom ważności danej luce w zabezpieczeniach i nadamy jej priorytet na podstawie ryzyka, jakie stwarza ona dla danych i prywatności naszych klientów.

Podziękowanie:

Obecnie nie prowadzimy programu Bug Bounty dla zewnętrznych ekspertów z dziedziny bezpieczeństwa. Mamy jednak platformę, na której którym doceniamy i uznajemy odpowiedzialne zgłoszenia — to nasza Strona uznania dla ekspertów z dziedziny bezpieczeństwa.

Legal Issues and Protections:

We are committed to protecting those who report vulnerabilities in good faith. We will not take legal action against individuals who report vulnerabilities in accordance with this policy. Unless the reporter explicitly requests acknowledgement, we will maintain the confidentiality of their identity unless otherwise required by law.

Podsumowanie:

Uważamy, że odpowiedzialne ujawnienie ma kluczowe znaczenie dla ochrony danych i prywatności naszych klientów. W niniejszej polityce przedstawiono nasze zobowiązanie do eliminowania luk w zabezpieczeniach w sposób terminowy i skuteczny. Zachęcamy wszystkie strony do zgłaszania luk w zabezpieczeniach naszemu zespołowi ds. reagowania na luki w zabezpieczeniach i współpracę z nami w celu ochrony naszych klientów.