Policy om samordnad delgivning av sårbarhetsinformation
Sonos strävar efter att skydda sina kunders data och integritet genom att agera på resultat från sårbarhetsforskning på ett skyndsamt och effektivt sätt. Vi rekommenderar att sårbarhetsforskare följer den här policyn om samordnad delgivning i samband med rapportering av säkerhetsrelaterade sårbarheter. Ett responsteam för säkerhetsrelaterade sårbarheter ansvarar för att ta emot och hantera sårbarhetsrapporter. Den här policyn omfattar parter som upptäcker eller rapporterar sårbarheter i våra produkter. Policyn är baserad på och hänvisar till tekniker som används i ISO-standarden för delgivning av sårbarhetsinformation, ISO/IEC 29147.
Krav:
I den här policyn betyder ”sårbarhetsforskning” aktiviteter där sårbarhetsforskare gör följande:
- Meddelar Sonos säkerhetsteam så snart det går efter att en ny verklig/potentiell säkerhetsrelaterad sårbarhet har upptäckts.
- Gör sitt bästa för att undvika kränkningar av människors personliga integritet, upprätthålla användarupplevelsen, förebygga störningar i produktionssystem och förhindra att data förstörs eller manipuleras. Säkerhetstester som bryter mot någon lagstiftning kan leda till straffrättslig eller juridisk utredning. Se avsnittet om juridiska frågor och rättsligt skydd.
- Håller sårbarheter hemliga under tidsfristen för samordnad delgivning av sårbarhetsinformation och ger Sonos rimligt lång tid på sig att lösa problemet innan det offentliggörs.
Sårbarhetens omfattning:
Den här policyn omfattar alla sårbarheter i Sonos anslutna produkter, plattformar och de mobilapplikationer som styr dem. Detta omfattar sårbarheter i firmware, mobilapplikationer och molntjänster.
Alla tjänster som inte uttryckligen anges ovan, som eventuella anslutna tjänster, omfattas inte och Sonos har inte behörighet att testa dessa. På samma sätt omfattas inte sårbarheter som upptäcks i system från våra underleverantörer av den här policyn. Dessa ska istället rapporteras direkt till den aktuella underleverantören i enlighet med deras delgivningspolicy (om sådan finns). Om du är osäker på om ett system omfattas av policyn kan du kontakta oss på security@sonos.com. Obs! Säkerhetsforskare ska granska de externa policyerna för delgivning av sårbarhetsinformation för alla anslutna tjänster från tredje part för att avgöra vilken behörighet som finns att testa dessa tjänster.
Alla tjänster som inte uttryckligen anges ovan, som eventuella anslutna tjänster, omfattas inte och Sonos har inte behörighet att testa dessa. På samma sätt omfattas inte sårbarheter som upptäcks i system från våra underleverantörer av den här policyn. Dessa ska istället rapporteras direkt till den aktuella underleverantören i enlighet med deras delgivningspolicy (om sådan finns). Om du är osäker på om ett system omfattas av policyn kan du kontakta oss på security@sonos.com. Obs! Säkerhetsforskare ska granska de externa policyerna för delgivning av sårbarhetsinformation för alla anslutna tjänster från tredje part för att avgöra vilken behörighet som finns att testa dessa tjänster.
Rapportering av sårbarheter:
Vi välkomnar rapporter om eventuella sårbarheter till vårt responsteam för säkerhetsrelaterade sårbarheter.
Rapporter kan skickas anonymt.
Sårbarheter kan rapporteras via e-post till security@sonos.com med ”Vulnerability Report” på ämnesraden.
Vi rekommenderar starkt att säkerhetsforskare använder de krypterade kommunikationskanalerna för att skicka in rapporter. Vår offentliga PGP-nyckel är tillgänglig här.
Rapporter ska vara så utförliga som möjligt. Följande information hjälper oss att utvärdera inskickade rapporter så snabbt som möjligt:
Rapporter kan skickas anonymt.
Sårbarheter kan rapporteras via e-post till security@sonos.com med ”Vulnerability Report” på ämnesraden.
Vi rekommenderar starkt att säkerhetsforskare använder de krypterade kommunikationskanalerna för att skicka in rapporter. Vår offentliga PGP-nyckel är tillgänglig här.
Rapporter ska vara så utförliga som möjligt. Följande information hjälper oss att utvärdera inskickade rapporter så snabbt som möjligt:
- Beskrivning av problemet och dess potentiella inverkan
- Produkter och programvaruversioner som berörs
- Anvisningar om att reproducera problemet
- Ett koncepttest
- Förslag på förmildrande eller korrigerande åtgärder
Vad du kan förvänta dig av oss:
- Externa parter som rapporterar en sårbarhet kan förvänta sig en bekräftelse på att rapporten har mottagits inom tre arbetsdagar.
- Vi kommer att informera externa parter om statusen för deras rapport med 2–3 veckors mellanrum under behandlingsprocessen samt när sårbarheten har åtgärdats.
- Vi kommer att ge sårbarheten en allvarlighetsgrad och prioritera den utifrån vilken risk den utgör för våra kunders data och integritet.
Erkännanden:
Trots att vi för närvarande inte har något belöningsprogram för externa säkerhetsforskare som hittar fel så har vi en plats där vi kan erkänna och uppmärksamma ansvarsfull rapportering på sidan med erkännanden till säkerhetsforskare.
Juridiska frågor och rättsligt skydd:
Vi är fast beslutna att skydda personer som rapporterar sårbarheter i god tro. Vi kommer inte att vidta några rättsliga åtgärder mot enskilda personer som rapporterar sårbarheter i enlighet med denna policy. Förutom där rapportören uttryckligen ber om ett erkännande kommer vi att hemlighålla dennas identitet såvida inget annat krävs enligt tillämplig lagstiftning.
Summering:
Vi anser att ansvarsfull rapportering är avgörande för att vi ska kunna skydda våra kunders data och integritet. I den här policyn beskrivs vårt åtagande kring att hantera sårbarheter på ett skyndsamt och effektivt sätt. Vi uppmuntrar alla parter att rapportera sårbarheter till vårt responsteam för säkerhetsrelaterade sårbarheter och samarbeta med oss för att skydda våra kunder.