Suunto прилагает все усилия, чтобы этот сайт достиг уровня AA, определенного в Руководстве по обеспечению доступности веб-контента (WCAG) версии 2.0, и соответствовал требованиям других стандартов доступности. Если у вас возникли какие-либо проблемы с доступом к этому сайту, обратитесь в службу поддержки клиентов в США по тел. +1 855 258 0900 (звонок бесплатный).

Политика ответственного раскрытия информации — Suunto

Компания Suunto стремится обеспечить безопасность и защиту всем лицам, пользующимся нашими устройствами и услугами. Как правило, мы предоставляем обновления для системы безопасности с целью устранения подтвержденных уязвимостей в наших устройствах и услугах на протяжении не менее 2 лет с момента первого поступления устройства или услуги в продажу или коммерческое использование. Мы призываем каждого сообщать о выявленных уязвимостях, и будем благодарны за ответственный подход к сообщению соответствующей информации.

Эта политика раскрытия информации об уязвимостях действует в отношении любых уязвимостей, о которых вы хотите нам сообщить. Мы рекомендуем вам полностью ознакомиться с настоящей политикой раскрытия информации об уязвимостях, прежде чем сообщать об уязвимости, и всегда действовать в соответствии с ней.

Мы благодарны тем, кто тратит свое время и усилия на то, чтобы сообщать об уязвимостях системы безопасности в соответствии с этой политикой. Однако мы не предусматриваем выплату денежного вознаграждения за раскрытие информации об уязвимостях.

# Сообщение

Если вы считаете, что обнаружили уязвимость системы безопасности, отправьте свое сообщение по электронной почте: security@suunto.com.

В сообщении укажите следующую информацию:

  • название устройства, веб-сайт, IP-адрес или страница, где наблюдается уязвимость;
  • краткое описание типа уязвимости, например «уязвимость XSS»;
  • действия по воспроизведению. Действия должны быть безопасными, не приводящими к негативным последствиям и подтверждающими обоснованность вашего сообщения. 

Это гарантирует быстрое и точное рассмотрение вашего обращения. Кроме того, это снижает вероятность дублирования отчетов или злонамеренного использования некоторых уязвимостей, например, захвата поддоменов.

Если вы не сообщаете о проблеме системы безопасности, мы не можем ответить на ваше сообщение. Если у вас есть вопросы, не связанные с безопасностью (включая проблемы с учетной записью приложения Suunto, адресом электронной почты или паролем, потерю или кражу устройств или опасения/соображения по поводу конфиденциальности), посетите www.suunto.com/Support/.

# Чего ожидать

Мы ответим на ваше сообщение в течение 7 рабочих дней после отправки. Мы также постараемся держать вас в курсе хода решения проблемы вплоть до ее разрешения.

Приоритетность устранения уязвимости определяется на основании ее воздействия, серьезности и сложности эксплуатации. Для рассмотрения сообщений об уязвимостях и устранения уязвимостей может потребоваться некоторое время. Вы можете проверять статус своего сообщения, однако делать это рекомендуется не чаще, чем раз в 14 дней. Это поможет нашим сотрудникам сосредоточиться на устранении проблемы.

Мы сообщим вам, когда уязвимость, о которой вы сообщали, будет устранена. Вас могут попросить подтвердить, что предложенное решение надлежащим образом устраняет уязвимость.

После того как уязвимость, о которой вы сообщили, будет устранена, ваше сообщение может быть раскрыто.

Мы хотели бы, чтобы все пользователи, вовлеченные в подобные ситуации, придерживались общих рекомендаций, поэтому просим вас и далее координировать с нами любое публичное разглашение информации.

# Рекомендации

Вы НЕ должны:

  • нарушать любые применимые законы или правила;
  • осуществлять доступ к ненужным, избыточным или значительным объемам данных;
  • изменять данные в наших системах или службах;
  • использовать высокоинтенсивные инвазивные или деструктивные инструменты сканирования для поиска уязвимостей;
  • вызывать своими действиями блокирование программного обеспечения сайта, например, перегружая службу высокими объемами запросов;
  • нарушать работу наших служб или систем;
  • отправлять сообщения с подробным описанием уязвимостей, которые нельзя эксплуатировать, или сообщения, указывающие на то, что службы не полностью соответствуют «передовой практике», например, сообщения об отсутствии заголовков безопасности;
  • отправлять сообщения с подробным описанием слабых мест конфигурации TLS, например, о «слабой» поддержке набора шифров или наличии поддержки TLS1.0;
  • сообщать о любых уязвимостях или связанной с ними информации способами, не предусмотренными данной политикой и не описанными в ней;
  • прибегать к социальной инженерии, фишингу или физическим атакам на сотрудников или инфраструктуру Suunto;
  • требовать финансовой компенсации за раскрытие каких-либо уязвимостей.

Вы должны:

  • соблюдать правила защиты данных и не нарушать конфиденциальность пользователей, сотрудников, подрядчиков, служб или систем Suunto. Например, вы не должны передавать или распространять данные, полученные из систем или служб. Вы должны обеспечить надлежащую защиту этих данных;
  • надежным способом удалить все данные, полученные в ходе изучения проблемы, как только они перестанут быть нужны или в течение 1 месяца с момента устранения уязвимости, в зависимости от того, что произойдет раньше (или как того требует закон о защите данных).

# Юридическая информация

Данная политика разработана с учетом общепринятой практики раскрытия информации об уязвимостях. Она не дает вам разрешения действовать каким-либо образом, который несовместим с законом или может привести к нарушению компанией Suunto или партнерскими организациями каких-либо юридических обязательств.