Koordinoitu haavoittuvuuksien julkistamiskäytäntö

Sonos on sitoutunut suojaamaan asiakkaidensa tietoja ja yksityisyyttä keskittymällä haavoittuvuuksien tutkimukseen oikea-aikaisesti ja tehokkaasti. Suosittelemme tietoturvatutkijoita noudattamaan tätä koordinoitua haavoittuvuuksien julkistamiskäytäntöä raportoidessaan tietoturvahaavoittuvuuksista. Tietoturvahaavoittuvuuksien reagointiryhmä on vastuussa haavoittuvuuksia koskevien raporttien vastaanotosta ja käsittelystä. Tämä käytäntö koskee osapuolia, jotka löytävät tuotteidemme haavoittuvuuksia tai ilmoittavat niistä. Tämä käytäntö perustuu haavoittuvuuden paljastamista koskevaan ISO-standardiin ISO/IEC 29147.

Vaatimukset:

Tämän käytännön mukaan ”haavoittuvuustutkimus” tarkoittaa toimintoja, jossa tietoturvatutkijat:

• Ilmoittavat Sonos Security Team -turvallisuustiimille mahdollisimman pian uuden todellisen/mahdollisen tietoturvahaavoittuvuuden löytämisen jälkeen.
• Pyrkivät vilpittömästi välttämään yksityisyysloukkauksia, säilyttämään käyttäjäkokemuksen, estämään tuotantojärjestelmien häiriöt ja suojautumaan tietojen tuhoamiselta tai manipuloinnilta. Mitä tahansa lakia rikkova turvallisuustestaus voi johtaa mahdolliseen rikos- tai oikeudelliseen tutkintaan. Katso Lakiasiat ja -suoja -osio.
• Pitävät haavoittuvuudet yksityisinä koordinoidun haavoittuvuuden julkistamisen aikana ja antavat Sonosille kohtuullisen ajan ratkaista ongelma ennen julkistamista.

Haavoittuvuuksien julkistamiskäytännön kattavuus:

Tämä käytäntö kattaa kaikki toisiinsa yhdistettyjen Sonos-tuotteiden, alustojen ja ohjaavien mobiilisovellusten haavoittuvuudet. Tämä sisältää haavoittuvuuksia laiteohjelmistossa, mobiilisovelluksissa ja pilvipalveluissa.

Kaikki palvelut, joita ei ole nimenomaisesti lueteltu yllä, kuten liitetyt palvelut, eivät kuulu soveltamisalaan, eikä Sonos ole valtuuttanut niitä testattavaksi. Lisäksi toimittajien järjestelmistä löydetyt haavoittuvuudet eivät kuulu tämän käytännön soveltamisalaan, ja niistä tulee ilmoittaa suoraan toimittajalle heidän julkistamiskäytäntönsä mukaisesti (jos sellainen on). Jos et ole varma, kuuluuko järjestelmä soveltamisalaan vai ei, ota meihin yhteyttä osoitteeseen security@sonos.com. Huomautus: Tietoturvatutkijoiden tulee nähdä minkä tahansa kolmannen osapuolen toisiinsa yhdistettyjen palvelujen ulkoisten haavoittuvuuksien paljastamiskäytännöt määrittääkseen näiden palvelujen valtuutetun testauslaajuuden.

Haavoittuvuuksista raportointi:

Suosittelemme haavoittuvuuksien vastuullista paljastamista tietoturvahaavoittuvuuksia käsittelevälle työryhmällemme.
Raportit voidaan lähettää nimettöminä.
Haavoittuvuuksista voi ilmoittaa lähettämällä sähköpostia osoitteeseen security@sonos.com otsikolla Haavoittuvuusraportti.

Kannustamme tietoturvatutkijoita käyttämään salattuja viestintäkanavia turvallisuusraporttien lähettämiseen. Julkinen PGP-avaimemme löytyy täältä.

Raporttien tulee sisältää mahdollisimman paljon tietoa. Seuraavat tiedot auttavat meitä arvioimaan lähettämäsi tiedot mahdollisimman nopeasti:

• Ongelman kuvaus ja sen mahdollinen vaikutus
• Tuotteet ja ohjelmistoversiot, jota ongelma koskee
• Ohjeet siitä, miten ongelman voi toistaa
• Konseptin toimivuuden todistaminen (PoC)
• Ehdotettuja lieventäviä tai korjaavia toimia tarpeen mukaan

Menettelytapa on seuraava:

• Haavoittuvuuden ilmoittamisen jälkeen ulkoiset osapuolet voivat odottaa saavansa kuittauksen raportistaan kolmen arkipäivän kuluessa.
• Pidämme ulkopuolisia osapuolia ajan tasalla heidän ilmoituksensa tilasta 2–3 viikon välein koko käsittelyprosessin ajan sekä silloin, kun haavoittuvuus on korjattu.
• Määritämme haavoittuvuudelle vakavuustason ja priorisoimme sen asiakkaidemme tiedoille ja yksityisyydelle aiheuttaman riskin mukaan.

Kiitokset:

Vaikka meillä ei ole tällä hetkellä ulkoisille tietoturvatutkijoille palkkio-ohjelmaa vikojen löytämisestä, tunnistamme ja tunnustamme vastuulliset julkistamiset Tietoturvatutkijan tunnustussivulla.

Lakiasiat ja -suoja:

Olemme sitoutuneet suojelemaan niitä, jotka ilmoittavat haavoittuvuuksista vilpittömästi. Emme ryhdy oikeustoimiin henkilöitä vastaan, jotka ilmoittavat haavoittuvuuksista tämän käytännön mukaisesti. Ellei toimittaja nimenomaisesti pyydä tunnustusta, pidämme hänen henkilöllisyytensä luottamuksellisina, ellei laki toisin edellytä.

Lopuksi:

Uskomme, että vastuullinen julkistaminen on ratkaisevan tärkeää asiakkaidemme tietojen ja yksityisyyden suojaamiseksi. Tässä käytännössä ilmaistaan sitoutumisemme puuttua haavoittuvuuksiin oikea-aikaisesti ja tehokkaasti. Kannustamme kaikkia osapuolia ilmoittamaan haavoittuvuuksista tietoturvahaavoittuvuuksia käsittelevälle työryhmällemme ja työskentelemään kanssamme asiakkaidemme suojelemiseksi.