Suunto strebt die Konformitätsstufe AA dieser Website mit den Web Content Accessibility Guidelines (WCAG) 2.0 sowie der Erfüllung weiterer Zugänglichkeitsnormen an. Solltest du Probleme mit dem Zugriff auf Informationen auf dieser Website haben, kontaktiere bitte den Kundendienst in den USA unter +1 855 258 0900 (gebührenfrei).

Richtlinie zur verantwortungsvollen Offenlegung bei Suunto

Suunto verpflichtet sich, die Sicherheit und den Schutz alle Personen zu gewährleisten, die unsere Geräte und Dienste nutzen. In der Regel stellen wir Sicherheitsupdates bereit, mit denen bestätigte Schwachstellen an unseren Geräten spätestens innerhalb von 2 Jahren behoben werden, nachdem das Gerät oder der Dienst zum Verkauf oder für den kommerziellen Einsatz angeboten wurde. Jeder Nutzer sollte erkannte Schwachstellen melden und wir schätzen es sehr, wenn Sie uns auf verantwortungsvolle Weise über diese Schwachstellen informieren.

Diese Richtlinie zur verantwortungsvollen Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie uns melden möchten. Bevor Sie eine Schwachstelle melden, sollten Sie diese Richtlinie zur Offenlegung von Schwachstellen vollständig lesen und Schwachstellen immer gemäß der Richtlinie melden.

Wir schätzen Personen, die sich die Zeit nehmen und die Mühe machen, Sicherheitsschwachstellen gemäß dieser Richtlinie zu melden. Dennoch bieten wir keine finanzielle Entschädigung für die Offenlegung von Schwachstellen.

# Meldung

Wenn Sie der Meinung sind, eine Sicherheitsschwachstelle entdeckt zu haben, senden Sie uns bitte eine E-Mail an die folgende Adresse: security@suunto.com.

Bitte geben Sie in Ihrer Meldung folgende Details an:

  • Das betroffene Gerät, die betroffene Website, IP oder Seite, an dem oder auf der die Schwachstelle zu beobachten ist;
  • Eine kurze Beschreibung der Art der Schwachstelle, z. B. „XSS-Schwachstelle“;
  • Schritte, mit denen sich die Schwachstelle erneut erkennen lässt. Der Nachweis sollte respektvoll und nicht aggressiv sein. 

Auf diese Weise können wir sicherstellen, dass die Meldung schnell und präzise eingeordnet werden kann. Außerdem sinkt damit die Wahrscheinlichkeit doppelter Meldungen oder böswilliger Nutzung bestimmter Schwachstellen, wie z. B. durch eine Übernahme von Subdomains.

Wenn Sie kein Sicherheitsproblem melden, können wir nicht auf Nachricht antworten. Bei Problemen, die nicht die Sicherheit betreffen (z. B. Probleme mit Ihrem Suunto App-Konto, der E-Mail-Adresse, dem Passwort, verlorenen oder gestohlenen Geräten oder Datenschutzbedenken) besuchen Sie www.suunto.com/Support/.

# Vorgehensweise

Wenn Sie Ihre Meldung eingereicht haben, antworten wir innerhalb von 7 Arbeitstagen darauf. Außerdem versuchen wir, Sie über den Fortschritt der Problemlösung zu informieren.

Die Priorität für die Lösung wird aufgrund der Auswirkung, des Schweregrads und der Komplexität der Sicherheitslücke bewertet. Es kann einige Zeit dauern, bis Meldungen zu Schwachstellen eingeordnet oder bearbeitet werden. Gerne können Sie den Status anfragen, sollten aber dies aber höchstens alle 14 Tage tun. Nur so kann unser Team sich auf die Problemlösung konzentrieren.

Wenn die gemeldete Schwachstelle behoben ist, informieren wir Sie und Sie können bestätigen, dass die Lösung die Schwachstelle angemessen behoben hat.

Sobald Ihre Schwachstelle behoben ist, freuen wir uns über Anfragen zur Offenlegung Ihrer Meldung.

Wir möchten die Anleitungen für die betroffenen Benutzer vereinheitlichen. Daher bitten wir Sie, die Offenlegung weiterhin mit uns zu koordinieren.

# Anleitung

Folgendes dürfen Sie NICHT tun:

  • Gesetze oder Verordnungen missachten;
  • Unnötige, übermäßige oder erhebliche Datenmengen sammeln
  • Daten in unseren Systemen oder Diensten verändern;
  • Hoch intensive invasive oder zerstörerische Scantools verwenden, um Schwachstellen zu suchen;
  • Jegliche Art von Denial-of-Service versuchen oder melden, z. B. durch Überlastung eines Dienstes mit einer großen Zahl an Anforderungen;
  • Dienste oder Systeme stilllegen;
  • Meldungen einreichen, die nicht angreifbare Schwachstellen enthalten oder darauf hinweisen, dass Dienste nicht vollständig den „Best Practices“ entsprechen, z. B. weil sie keine Sicherheitskopfzeile enthalten;
  • Meldungen einreichen, die Schwächen an der TLS-Konfiguration beinhalten, z. B. zu einer „schwachen“ Unterstützung von Cipher Suite oder zum vorhandenen TLS1.0-Support.
  • Schwachstellen oder entsprechende Details anders als mit dem in der veröffentlichten Richtlinie beschriebenen Verfahren melden;
  • Die Mitarbeiter oder Infrastruktur von Suunto durch Social Engineering, Phishing oder physische Attacken angreifen;
  • Finanzielle Entschädigung für die Veröffentlichung von Schwachstellen fordern.

Folgendes MÜSSEN Sie tun:

  • Immer die Datenschutzregeln beachten und nie die Privatsphäre von Nutzern, Mitarbeitern, Partnern, Diensten oder Systemen von Suunto verletzen. Sie dürfen z. B. Daten, die Sie aus den Systemen oder Diensten abgerufen haben, nicht teilen, verteilen oder unsachgemäß sichern;
  • Alle Daten, die Sie während Ihrer Recherche erfasst haben, löschen, sobald sie nicht mehr benötigt werden, spätestens aber innerhalb von 1 Monat nach der Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie anderweitig in Datenschutzgesetzen festgelegt).

# Rechtliche Grundlagen

Diese Richtlinie erfüllt die allgemeinen bewährten Verfahren zur Offenlegung von Schwachstellen. Sie erteilt Ihnen nicht die Berechtigung, so zu handeln, dass Sie gegen ein Gesetz verstoßen, oder zu verursachen, dass Suunto oder die Partnerorganisationen gegen eine gesetzliche Verpflichtung verstoßen.