Suunto dokłada wszelkich starań, aby niniejsza witryna internetowa osiągnęła zgodność na poziomie AA z wytycznymi WCAG 2.0 (Web Content Accessibility Guidelines), a także by odpowiadała innym standardom ułatwień dostępu. W przypadku problemów z dostępem do informacji w tej witrynie internetowej prosimy o kontakt z działem obsługi klienta pod numerem telefonu w USA +1 855 258 0900 (linia bezpłatna).

Polityka firmy Suunto dotycząca odpowiedzialnego ujawniania informacji

Firmie Suunto zależy na zapewnianiu bezpieczeństwa każdemu, kto korzysta z naszych urządzeń i usług. Z reguły zapewniamy aktualizacje zabezpieczeń w celu naprawy potwierdzonych luk w zabezpieczeniach naszych urządzeń i usług przez co najmniej 2 lata od momentu pierwszego wprowadzenia urządzenia lub usługi do sprzedaży bądź udostępnienia ich do użytku komercjalnego. Zachęca się każdego do zgłaszania stwierdzonych luk w zabezpieczeniach. Jesteśmy wdzięczni za Twoją pomoc w odpowiedzialnym ujawnianiu nam tych kwestii.

Niniejsza polityka dotycząca ujawniania luk w zabezpieczeniach odnosi się do wszelkich luk w zabezpieczeniach, w przypadku których rozważasz zgłoszenie ich nam. Zalecamy przeczytanie całej niniejszej polityki dotyczącej zgłaszania luk w zabezpieczeniach przed zgłoszeniem luki w zabezpieczeniach oraz działanie zawsze w sposób zgodny z jej postanowieniami.

Cenimy osoby, które poświęcają swój czas i zadają sobie trud, aby zgłaszać luki w zabezpieczeniach zgodnie z niniejszą polityką. Nie oferujemy jednak nagród finansowych za takie działania.

# Zgłaszanie

Jeśli uważasz, że udało Ci się znaleźć lukę w zabezpieczeniach, wyślij do nas wiadomość e-mail na następujący adres: security@suunto.com.

Zamieść następujące informacje w zgłoszeniu:

  • konkretne urządzenie, strona, witryna internetowa lub adres IP, na których można znaleźć lukę;
  • krótki opis rodzaju luki w zabezpieczeniach, na przykład „luka w zabezpieczeniach XSS”;
  • kroki do odwzorowania. Powinny one stanowić łagodny, niedestrukcyjny dowód potwierdzający koncepcję. 

Pomoże to w szybkiej i odpowiedniej klasyfikacji zgłoszenia. Zmniejsza także prawdopodobieństwo powielania zgłoszeń lub wykorzystania pewnych luk w zabezpieczeniach do złośliwych celów, takich jak przejęcie domen podrzędnych.

Jeśli nie zgłaszasz problemu z bezpieczeństwem, nie jesteśmy w stanie odpowiedzieć na Twoją wiadomość. W przypadku problemów niezwiązanych z bezpieczeństwem (w tym problemów z kontem aplikacji Suunto, adresem e-mail, hasłem, zgubionymi lub skradzionymi urządzeniami bądź obaw dotyczących prywatności) odwiedź stronę www.suunto.com/Support/.

# Czego się spodziewać

Po dokonaniu zgłoszenia udzielimy odpowiedzi na nie w ciągu 7 dni roboczych. Będziemy także starali się przekazywać Ci informacje o naszych postępach na bieżąco aż do rozwiązania problemu.

Priorytet rozwiązywania problemów ocenia się, sprawdzając wpływ, ważność oraz złożoność ataku. Klasyfikacja lub rozpatrzenie zgłoszeń dotyczących luk w zabezpieczeniach mogą zająć trochę czasu. Nie mamy nic przeciwko pytaniu o status, ale nie należy robić tego częściej niż co 14 dni. Dzięki temu nasze zespoły będą mogły się skupić na usunięciu luk.

Powiadomimy Cię po usunięciu zgłoszonej luki w zabezpieczeniach i możesz otrzymać prośbę o potwierdzenie, czy rozwiązanie odnosi się do luki w wystarczającym stopniu.

Po rozwiązaniu luki w zabezpieczeniach z chęcią przyjmiemy prośby o ujawnienie Twojego zgłoszenia.

Chcielibyśmy ujednolicić wytyczne dla użytkowników, którzy wykryli tę samą lukę, dlatego prosimy o dalszą koordynację ujawnienia publicznego wraz z nami.

# Wytyczne

NIE można:

  • naruszać żadnych obowiązujących przepisów ani regulacji;
  • uzyskiwać dostępu do niepotrzebnych, nadmiernych lub znacznych ilości danych;
  • modyfikować danych w naszych systemach lub usługach;
  • wyszukiwać luk w zabezpieczeniach za pomocą inwazyjnych lub destrukcyjnych narzędzi do skanowania o dużej intensywności;
  • podejmować prób odmowy usługi lub zgłaszać jej w jakiejkolwiek formie, np. poprzez jej nadmierne obciążanie dużą liczbą żądań;
  • zakłócać działania naszych usług oraz systemów;
  • przesyłać zgłoszeń dotyczących luk w zabezpieczeniach, które nie umożliwiają dokonania ataku, ani zgłoszeń wskazujących, że usługi nie są w pełni zgodne z „najlepszą praktyką”, na przykład ze względu na brak nagłówków zabezpieczeń;
  • przesyłać zgłoszeń dotyczących słabych punktów w konfiguracji TLS, na przykład „słabego” wsparcia pakietu szyfrów lub obecności wsparcia TLS1.0;
  • informować o lukach w zabezpieczeniach ani o powiązanych z nimi kwestiach w sposób inny niż opisany w opublikowanej polityce;
  • dokonywać inżynierii społecznej, podejmować „ataków phishingowych” lub fizycznych wobec pracowników lub infrastruktury firmy Suunto;
  • żądać wynagrodzenia finansowego za ujawnienie luk w zabezpieczeniach.

Należy:

  • zawsze przestrzegać przepisów dotyczących ochrony danych i nie można naruszać prywatności użytkowników, pracowników, kontrahentów, usług ani systemów firmy Suunto. Nie można na przykład udostępniać, ponownie rozpowszechniać ani zapominać o odpowiednim zabezpieczeniu danych pozyskanych z systemów lub usług;
  • bezpiecznie usuwać wszystkie dane pozyskane podczas wyszukiwania zaraz po tym, jak przestaną być potrzebne, lub w ciągu 1 miesiąca od usunięcia luki w zabezpieczeniach w zależności od tego, co nastąpi szybciej (lub w terminie wymaganym w przepisach dotyczących ochrony danych).

# Wymogi prawa

Niniejsza polityka ma być zgodna z często stosowaną dobrą praktyką w zakresie ujawniania luk w zabezpieczeniach. Nie zapewnia ona pozwolenia na działania w jakikolwiek sposób, który jest niezgodny z prawem lub może spowodować naruszenie jakichkolwiek zobowiązań prawnych po stronie firmy Suunto lub organizacji partnerskich.