مقدمة

نحن في Sonova ملتزمون بضمان أمن منتجاتنا ومرونتها والخدمات المرتبطة بها. ونحن ندرك أنه على الرغم من جهودنا، قد تظهر ثغرات أمنية. ونشجع الجميع على الإبلاغ عن أي ثغرات أمنية مشتبه بها أو مخاوف أمنية تتعلق بمنتجاتنا أو البرامج أو البنية التحتية التي تعتمد عليها. ويشمل ذلك الباحثين في مجال الأمن، والعملاء والمستهلكين النهائيين، وفرق الاستجابة للطوارئ الحاسوبية (CERT)، والمجموعات الصناعية، والشركاء، وجميع الأطراف المعنية الأخرى.

قبل تقديم التقرير، يرجى قراءة هذه السياسة بعناية والتأكد من أن إجراءاتك تتوافق مع إرشاداتها.

الإبلاغ عن ثغرة أمنية

نرجو من أي شخص يعتقد أنه اكتشف ثغرة أمنية محتملة في منتجاتنا أو خدماتنا ذات الصلة أن يبلغنا بها في أقرب وقت ممكن من خلال قسم خدمة العملاء لدينا.

عند تقديم تقرير، يرجى اتباع الإرشادات التالية:

  • يرجى تقديم معلومات مفصلة عن الثغرة الأمنية المحتملة، بما في ذلك وصف واضح لها والخطوات اللازمة لتكرار المشكلة. تجدون في المرفق نموذجًا للإبلاغ عن المشكلة التي اكتشفتموها.
  • تجنب أي تصرفات قد تضر بسرية منتجاتنا وخدماتنا أو بياناتنا أو سلامتها أو تكاملها أو توفرها. يرجى الامتناع عن التسبب في أي ضرر مادي، أو تغيير البيانات، أو إساءة استخدام صلاحيات متقدمة، أو تنزيل بيانات أكثر مما هو ضروري لإثبات وجود الثغرة الأمنية.
  • يرجى الحفاظ على سرية النتائج التي توصلت إليها حتى ننتهي من التحقيق ونتخذ الإجراءات اللازمة. فهذا يساعد في حماية مستخدمينا ويضمن التعامل المسؤول مع المشكلات الأمنية.
  • يرجى إخطارنا مسبقًا بنيتك في الكشف عن هذه الثغرة الأمنية للجمهور.
  • يرجى تقديم بيانات الاتصال الخاصة بك، مثل عنوان البريد الإلكتروني أو رقم الهاتف، حتى نتمكن من التواصل معك لإجراء مزيد من التحقيق.

التزامنا

عند تلقي بلاغ بشأن ثغرة أمنية، تلتزم شركة Sonova بما يلي:

  • سنقوم بإرسال إشعار باستلام تقريرك، يؤكد أن طلبك قد تم استلامه ويجري حالياً معالجته.
  • سيقوم فريق الأمن المتخصص لدينا بإجراء تحقيق شامل حول الثغرة الأمنية التي تم الإبلاغ عنها. وقد نتصل بك للحصول على مزيد من المعلومات أو التوضيحات لضمان فهم شامل للثغرة الأمنية.
  • نحن نولي الأولوية لمعالجة الثغرات الأمنية المبلغ عنها بناءً على درجة خطورتها وتعقيدها. ويلتزم فريقنا باتخاذ الخطوات اللازمة لمعالجة المخاطر والتخفيف من آثارها بسرعة وفعالية.
  • سنحافظ على تواصل مفتوح وشفاف معك طوال هذه العملية. وسنبقيك على اطلاع على التقدم الذي نحرزه في التحقيق في المشكلة وحلها، مع تزويدك بتحديثات منتظمة في المراحل الرئيسية.

الاستثناءات

بينما نشجع على الإبلاغ عن أي ثغرات أمنية يتم اكتشافها، يرجى ملاحظة أن الإجراءات التالية ممنوعة منعاً باتاً:

  • استخدام عمليات المسح الآلي المتطفلة أو المسببة للاضطراب ضد بنيتنا التحتية.
  • الوصول إلى البيانات الموجودة في الحسابات أو الأنظمة التي لا تملكها أو التي ليس لديك إذن صريح للتعامل معها، أو تنزيلها أو تعديلها أو التدخل فيها بأي شكل آخر.
  • القيام بأنشطة تهدف عمداً إلى تعطيل أو الإضرار بسلامة تشغيل منتجاتنا والخدمات أو الأنظمة المرتبطة بها أو تهديدها.
  • الكشف عن الثغرة الأمنية التي تم تحديدها للجمهور قبل أن نتمكن من حلها.
  • الانخراط في أي شكل من أشكال الهندسة الاجتماعية أو هجمات التصيد الاحتيالي أو الممارسات الخادعة ضد موظفينا أو مستخدمينا أو بنيتنا التحتية.
  • شن هجمات أمنية مادية على أصول شركة سونوفا.

الثغرات الأمنية التي لا تدخل في نطاق هذا البرنامج

يركز برنامج الإبلاغ عن الثغرات الأمنية هذا على الثغرات المتعلقة بمنتجات Sonova والبنية التحتية الأساسية لها والخدمات المرتبطة بها. وبالتالي، فإن الثغرات الموجودة على موقعنا الإلكتروني أو في البنية التحتية المتاحة للجمهور لا تدخل حاليًا في نطاق هذا البرنامج.

من أجل توزيع الموارد بكفاءة والتركيز على معالجة نقاط الضعف ذات التأثير الكبير، نحدد الفئات التالية على أنها خارج نطاق برنامج الإبلاغ عن الثغرات الأمنية هذا. وقد لا يؤدي الإبلاغ عن هذه الثغرات إلى الاعتراف بها أو اتخاذ إجراءات لتصحيحها:

  • البيانات الناتجة عن أدوات المسح الآلي أو التحليل الآلي.
  • ملاحظات بشأن ضعف خوارزميات التشفير SSL/TLS ونقاط الضعف في إعدادات TLS، ما لم يتم إثبات وجود خطر حقيقي وقابل للاستغلال يخص بيئتنا على وجه التحديد.
  • عدم وجود التدابير الأمنية الموصى بها، أو استخدام مكتبات معروفة بوجود ثغرات أمنية فيها، أو عدم وجود رسائل خطأ مفصلة، ما لم تتضمن هذه الرسائل مسارات واضحة وقابلة للإثبات للاستغلال.

بيان قانوني / مبدأ الملاذ الآمن

في سونوفا، نُقدّر مساهمات الباحثين في مجال الأمن ونُدرك أهمية جهودهم في تعزيز أمن منتجاتنا.

إذا التزمت بالإرشادات الواردة في سياسة الكشف عن الثغرات الأمنية الخاصة بنا، فسيتم اعتبار إجراءاتك مصرحًا بها، ولن نتخذ أي إجراءات قانونية ضدك. ورغم أننا ندعم الأبحاث الأمنية المسؤولة، يرجى ملاحظة أن التزامك بهذه السياسة لا يعفيك من الامتثال لأي قوانين محلية سارية. إذا تم اتخاذ إجراءات قانونية من قبل طرف ثالث فيما يتعلق بأنشطتك بموجب هذه السياسة، يرجى العلم أنه على الرغم من أننا نسعى إلى توضيح طبيعة امتثالك لسياستنا، إلا أننا لا نستطيع القيام بالتمثيل القانوني أو التدخل المباشر نيابة عنك.

اتصل بنا

لأية أسئلة أو بلاغات تتعلق بالثغرات الأمنية، يرجى الاتصال بخدمة العملاء على العنوان https://ae.sennheiser-hearing.com/pages/contact/.