Suunto on sitoutunut täyttämään tällä verkkosivustolla verkkosivuston saavutettavuusohjeiden (WCAG-ohjeistus) 2.0-version AA-tason vaatimukset sekä myös muiden saavutettavuutta koskevien standardien vaatimukset. Soita yhdysvaltalaiseen asiakaspalvelunumeroon +1 855 258 0900 (maksuton), jos tämän sivuston tietojen saavutettavuudessa on ongelmia.

Suunnon vastuullisen ilmoittamisen käytäntö

Suunto on sitoutunut varmistamaan kaikkien sen laitteiden ja palveluiden käyttäjien turvallisuuden. Yleisenä keinona julkaisemme tietoturvapäivityksiä, joilla korjataan vahvistettuja haavoittuvuuksia laitteissamme ja palveluissamme, vähintään kahden vuoden ajan siitä päivästä, kun laite tai palvelu tulee ensimmäisen kerran myyntiin tai kaupalliseen käyttöön. Kannustemme kaikkia ilmoittamaan tunnistamistaan haavoittuvaisuuksista vastuullisesti ja arvostamme sitä, että saamme kuulla niistä.

Tämä haavoittuvuuksien ilmoituskäytäntö koskee kaikkia haavoittuvuuksia, joista ilmoittamista harkitset. Suosittelemme lukemaan tämän ilmoittamiskäytännön kokonaisuudessaan ennen haavoittuvuudesta ilmoittamista ja noudattamaan sitä.

Arvostamme kaikkia, jotka käyttävät aikaa ja näkevät vaivaa ilmoittaakseen meille haavoittuvuuksista tämän käytännön mukaisesti. Emme kuitenkaan maksa palkkiota ilmoittamisesta.

# Ilmoittaminen

Jos epäilet löytäneesi haavoittuvuuden, lähetä meille sähköpostia seuraavaan osoitteeseen: security@suunto.com.

Kerro ilmoituksessasi seuraavat tiedot:

  • Laitteen yksilöintitiedot, verkkosivut, IP-osoite tai sivu, jolla haavoittuvuus ilmenee;
  • Haavoittuvuuden tyypin lyhyt kuvaus, esimerkiksi ”XSS-haavoittuvuus”;
  • Miten haavoittuvuuden voi toistaa. Vaiheiden on oltava vaarattomia ja todistettava haavoittuvuuden olemassaolo. 

Näin varmistetaan ilmoituksen nopea ja tarkka luokittelu. Tämä myös pienentää todennäköisyyttä, että samasta haavoittuvuudesta ilmoitetaan kahdesti, sekä estää tiettyjen haavoittuvuuksien tahallisen hyödyntämisen, esimerkiksi alitason osoitteiden kaappaamisen.

Jos ilmoituksesi ei koske tietoturvaongelmaa, emme voi vastata viestiisi. Muiden kuin tietoturvaa koskevien ongelmien tapauksessa (esimerkiksi Suunto-sovelluksen tiliisi, sähköpostiosoitteeseesi, laitteen katoamiseen tai varastamiseen tai yksityisyydensuojaan liittyvät ongelmat) löydät ohjeita osoitteesta www.suunto.com/fi-fi/Tuki/.

# Mitä odottaa

Vastaamme ilmoitukseesi seitsemän työpäivän sisällä ilmoituksen lähettämisestä. Pyrimme myös pitämään sinut ajan tasalla prosessista, kunnes ongelma on ratkaistu.

Korjaustoimien ensisijaisuus arvioidaan tarkastelemalla vaikutuksen, vakavuuden ja altistumisen kokonaisuutta. Haavoittuvuusilmoitusten luokittelu tai käsittely saattaa kestää jonkin aikaa. Voit tiedustella ilmoituksesi tilaa, mutta pyydämme, että et tee niin useammin kuin 14 vuorokauden välein. Näin tiimimme pystyy keskittymään korjaustoimiin.

Kerromme sinulle, kun olemme korjanneet ilmoittaneesi haavoittuvuuden, ja saatamme pyytää sinua varmistamaan, että ratkaisu kattaa kyseisen haavoittuvuuden riittävän hyvin.

Kun haavoittuvuutesi on ratkaistu, otamme mielellämme vastaan ilmoitusta koskevia pyyntöjä.

Haluamme yhtenäistää ohjeitamme altistuneille käyttäjille, joten toimithan jatkossakin julkisten tiedotteidemme mukaisesti.

# Ohjaus

ÄLÄ tee seuraavia:

  • Riko soveltuvia lakeja tai säädöksiä;
  • Käytä tietoja, joita et tarvitse tai liian suurta tietomäärää;
  • Muokkaa järjestelmissämme tai palveluissamme olevia tietoja:
  • Etsi haavoittuvuuksia erittäin invasiivilla tai tuhoa aiheuttavilla skannaustyökaluilla;
  • Yritä ilmoitusten tai muun kautta minkäänlaista palvelunestohyökkäystä, esimerkiksi kuormittamalla palvelua suurella pyyntömäärällä;
  • Häiriköi palveluitamme tai järjestelmiämme;
  • Lähetä yksityiskohtaisia ilmoituksia, jotka koskevat vaarattomia haavoittuvuuksia tai ilmoituksia siitä, että palvelut eivät ole täysin ”parhaiden käytäntöjen” mukaisia, esimerkiksi puuttuvien tietoturvaotsikoiden vuoksi
  • Lähetä ilmoituksia, jossa kerrotaan TLS-konfiguraation heikkouksista, esimerkiksi ”heikko” salakirjoituksen tuki tai TLS1.0-tuki;
  • Ilmoita haavoittuvuuksista tai siihen liittyvistä tiedoista muilla keinoilla kuin käytännössä kuvatuilla tavoilla;
  • Käytä sosiaalisia menetelmiä, tietojenkalastelua tai fyysisiä hyökkäyksiä, jotka kohdistuvat Suunnon työntekijöihin tai infrastruktuuriin;
  • Vaadi taloudellista korvausta haavoittuvuuksien ilmoittamisesta.

Tee seuraavat:

  • Noudata aina tietosuojasääntöjä, äläkä loukkaa Suunnon käyttäjien, työntekijöiden, alihankkijoiden tai järjestelmien yksityisyyttä. Et saa esimerkiksi jakaa, levittää edelleen tai jättää suojaamatta tietoja, jotka on haettu järjestelmistä tai palveluista;
  • Poista tietoturvallisesti kaikki tutkimisen aikana hankitut tiedot heti, kun et enää tarvitse niitä, tai yhden kuukauden kuluessa haavoittuvuuden ratkaisusta, riippuen siitä, kumpi tapahtuu ensin (tai muussa tietosuojalain edellyttämässä ajassa).

# Lainsäädäntö

Tämä käytäntö on laadittu niin, että se noudattaa yleisiä haavoittuvuuksista ilmoittamisen parhaita käytäntöjä. Se ei valtuuta ketään toimimaan lain vastaisesti tai tavoilla, jotka voisivat saada Suunnon tai sen kumppanit rikkomaan lakisääteisiä vaatimuksiaan.