Suunto si impegna per assicurare che questo sito web raggiunga il livello AA di conformità alle Web Content Accessibility Guideline (WCAG) 2.0 e la conformità ad altri standard di accessibilità. Se riscontri problemi con l'accesso alle informazioni di questo sito web, ti preghiamo di contattare il Servizio Clienti al numero verde +1 855 258 0900 (Stati Uniti).

Politica di divulgazione responsabile di Suunto

Suunto si impegna a garantire la protezione e la sicurezza degli utenti che utilizzano i suoi dispositivi e servizi. In linea generale, Suunto rilascia aggiornamenti di sicurezza per correggere le vulnerabilità rilevate nei propri dispositivi e servizi per un periodo di almeno 2 anni dalla data in cui il dispositivo o il servizio viene offerto per la prima volta in vendita o per uso commerciale. Ogni utente è invitato a segnalare eventuali vulnerabilità identificate e a comunicarle a Suunto in modo responsabile.

La presente Politica di divulgazione delle vulnerabilità si applica a qualsiasi vulnerabilità che l’utente intende segnalare. Si consiglia di leggere attentamente la presente politica di divulgazione prima di segnalare una vulnerabilità e di agire sempre in conformità con essa.

Suunto apprezza gli utenti che si impegnano a segnalare le vulnerabilità di sicurezza in conformità con la presente politica. Tuttavia, per le suddette segnalazioni non sono previsti compensi finanziari.

# Effettuare una segnalazione

Nel caso in cui l’utente identifichi una vulnerabilità della sicurezza, inviare la segnalazione a Suunto al seguente indirizzo e-mail: security@suunto.com.

Nella segnalazione l’utente deve includere i seguenti dettagli:

  • Il dispositivo, il sito web, l’IP o la pagina in cui è stata riscontrata la vulnerabilità;
  • Una breve descrizione del tipo di vulnerabilità, ad es. “Vulnerabilità XSS”;
  • I passaggi da seguire per riprodurre la vulnerabilità. La dimostrazione pratica deve essere innocua e non distruttiva. 

Ciò consentirà di esaminare la segnalazione in modo rapido e con precisione e riduce la probabilità di segnalazioni doppie o di sfruttamento malevolo di alcune vulnerabilità, come le acquisizioni di sottodomini.

Se la segnalazione non include un problema di sicurezza, Suunto si riserva il diritto di non rispondere al messaggio. Per problemi non legati alla sicurezza (inclusi problemi con l’account dell’app Suunto, l’indirizzo e-mail, la password, i dispositivi smarriti o rubati o dubbi relativi alla privacy), visitare www.suunto.com/Support/.

# Verifica della segnalazione

Suunto risponderà alla segnalazione dell’utente entro 7 giorni lavorativi e cercherà di informare lo stesso sullo stato della segnalazione fino alla risoluzione del problema.

La priorità di intervento viene valutata in base all’impatto, alla gravità e alla complessità di un eventuale sfruttamento della vulnerabilità. La verifica e la gestione della vulnerabilità possono richiedere tempo. L’utente può richiedere informazioni sullo stato della segnalazione, ma si consiglia di farlo al massimo una volta ogni 14 giorni. Ciò consentirà ai team di Suunto di concentrarsi sulla risoluzione.

L’utente riceverà una notifica quando la vulnerabilità segnalata sarà risolta e gli potrebbe essere richiesto di confermare che la soluzione copra adeguatamente la vulnerabilità.

Una volta risolta la vulnerabilità, è possibile fare richiesta di divulgazione della segnalazione.

Al fine di unificare le indicazioni per gli utenti coinvolti, Suunto auspica una divulgazione pubblica coordinata.

# Linee guida

All’utente NON è consentito:

  • Violare qualsiasi legge o regolamento applicabile;
  • Accedere a quantità di dati non necessarie, eccessive o significative;
  • Modificare dati nei sistemi o servizi di Suunto;
  • Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per individuare eventuali vulnerabilità;
  • Tentare o segnalare qualsiasi forma di attacco Denial-Of-Service, ad es. sovraccaricare un servizio con un elevato volume di richieste;
  • Interrompere i servizi o i sistemi di Suunto;
  • Presentare segnalazioni che descrivano nel dettaglio le vulnerabilità non sfruttabili, o segnalazioni che indichino che i servizi non sono pienamente allineati con le “best practice”, ad es. assenza di security header;
  • Inoltrare segnalazioni che descrivano nel dettaglio i punti deboli nella configurazione TLS, come ad es. il supporto per suite di cifratura “deboli” o la presenza del supporto per TLS1.0;
  • Comunicare eventuali vulnerabilità o i dettagli correlati con modalità diverse da quelle descritte nella presente politica pubblicata;
  • Eseguire attacchi di ingegneria sociale, phishing o attacchi diretti nei confronti dei dipendenti o delle infrastrutture di Suunto;
  • Richiedere un compenso finanziario al fine di segnalare vulnerabilità.

L’utente deve:

  • Rispettare sempre le normative sulla protezione dei dati e non violare la privacy di utenti, dipendenti, contrattisti, servizi o sistemi di Suunto. Non deve, ad esempio, condividere, distribuire ulteriormente o non proteggere adeguatamente i dati estratti dai sistemi o dai servizi;
  • Eliminare in modo sicuro tutti i dati ottenuti durante la ricerca non appena non sono più necessari ovvero entro 1 mese dalla risoluzione della vulnerabilità, a seconda di quale evento si verifichi per primo (o come altrimenti previsto dalla normativa sulla protezione dei dati).

# Aspetti legali

La presente politica è concepita per essere compatibile con le buone pratiche comuni di divulgazione delle vulnerabilità. Non permette all’utente di agire in modo contrario alla legge o in un modo che possa comportare la violazione di eventuali obblighi legali da parte di Suunto o delle sue organizzazioni partner.