Suunto strävar efter att denna webbplats ska uppnå nivå AA i enlighet med Web Content Accessibility Guidelines (WCAG) 2.0 och andra riktlinjer för tillgänglighet. Kontakta vår kundtjänst på +1 855 258 0900 (avgiftsfritt i USA) om du har problem med att få tillgång till information på den här webbplatsen.

Suunto policy för ansvarsfull rapportering

Suunto har åtagit sig att garantera trygghet och säkerhet för alla som använder våra enheter och tjänster. Vi tillhandahåller vanligtvis säkerhetsuppdateringar för att åtgärda bekräftade sårbarheter i våra enheter och tjänster under minst 2 år från det att enheten eller tjänsten först erbjöds till försäljning eller kommersiellt bruk. Alla uppmuntras att rapportera identifierade sårbarheter, och vi uppskattar din hjälp med att rapportera dessa till oss på ett ansvarsfullt sätt.

Denna policy för rapportering av sårbarheter gäller alla sårbarheter som du överväger att rapportera till oss. Vi rekommenderar att du läser denna policy för rapportering av sårbarheter fullständigt innan du rapporterar en sårbarhet och alltid agerar i enlighet med den.

Vi värdesätter alla som ägnar tid och ansträngningar åt att rapportera säkerhetsbrister enligt denna policy. Vi erbjuder dock inga monetära belöningar för rapportering av sårbarheter.

# Rapportering

Om du tror att du har hittat en säkerhetsbrist, skicka e-postmeddelanden till oss via följande e-postadress: security@suunto.com.

Var vänlig inkludera följande information i din rapport:

  • Den specifika enhet, webbplats, IP-adress eller sida där sårbarheten kan observeras;
  • En kort beskrivning över vilken typ av sårbarhet det gäller, till exempel; "XSS-sårbarhet";
  • Steg för att återskapa sårbarheten. Dessa kan vara godartade, icke-destruktiva, proof of concept-skript. 

Detta hjälper till att säkerställa att rapporten kan prioriteras snabbt och korrekt. Det reducerar även sannolikheten för dubblerade rapporter eller skadligt utnyttjande av vissa sårbarheter, som övertagande av underdomäner.

Om du inte rapporterar ett säkerhetsproblem kan vi inte svara på ditt meddelande. För frågor som inte gäller säkerhet (inklusive problem med ditt Suunto-app-konto, e-postadress, lösenord, förlorade eller stulna enheter eller integritetsproblem) besök www.suunto.com/Support/.

# Vad du kan förvänta dig

Efter att du har skickat in din rapport kommer vi att svara på den inom 7 arbetsdagar. Vi strävar också efter att hålla dig informerad om våra framsteg tills problemet är löst.

Åtgärders prioritet bedöms genom att utvärdera påverkan, svårighetsgrad och exploateringskomplexitet. Sårbarhetsrapporter kan ta lite tid att utvärdera eller åtgärda. Du är välkommen att efterfråga status, men bör undvika att göra det mer än en gång var 14:e dag. Detta gör att våra team kan fokusera på saneringen.

Vi kommer att meddela dig när den rapporterade sårbarheten är åtgärdad, och du kan bli inbjuden att bekräfta att lösningen täcker sårbarheten tillräckligt.

När sårbarheten har åtgärdats välkomnar vi förfrågningar om att lämna ut din rapport.

Vi vill göra vägledningen för berörda användare enhetlig, så var vänlig fortsätt att samordna offentlig publicering med oss.

# Vägledning

Du får INTE:

  • Bryta mot tillämpliga lagar eller förordningar;
  • Skaffa dig åtkomst till onödiga, överdrivna eller betydande mängder data;
  • Modifiera data i våra system eller tjänster;
  • Använd högintensiva, invasiva eller destruktiva skanningsverktyg för att hitta sårbarheter;
  • Försöka eller rapportera någon form av överbelastning, t.ex. överbelasta en tjänst med en hög volym förfrågningar;
  • Störa våra tjänster eller system;
  • Skicka rapporter som beskriver icke-exploaterbara sårbarheter, eller rapporter som indikerar att tjänsterna inte helt överensstämmer med "bästa praxis", till exempel saknade säkerhetsheaders;
  • Skicka rapporter som beskriver TLS-konfigurationssvagheter, till exempel "svagt" krypteringssvitstöd eller närvaro av TLS1.0-stöd;
  • Kommunicera eventuella sårbarheter eller associerade detaljer på annat sätt än som beskrivs i den publicerade policyn;
  • Socialt påverka, "fiska" eller fysiskt attackera Suuntos anställda eller infrastruktur;
  • Kräva ekonomisk kompensation för att avslöja eventuella sårbarheter.

Du måste:

  • Alltid efterfölja dataskyddsregler och får inte kränka sekretessen för Suuntos användare, anställda, entreprenörer, tjänster eller system. Du får till exempel inte dela, omdistribuera eller misslyckas med att korrekt säkerställa data som hämtas från systemen eller tjänsterna.
  • På ett säkert sätt radera all data som hämtats under din forskning så snart den inte längre behövs eller inom 1 månad efter att sårbarheten har lösts, beroende på vad som inträffar först (eller enligt vad som annars krävs enligt dataskyddslagstiftningen).

# Lagligheter

Denna policy är utformad för att vara förenlig med vanlig god praxis för rapportering av sårbarheter. Den ger dig inte tillåtelse att agera på något sätt som är oförenligt med lagen, eller som kan orsaka att Suunto eller partnerorganisationer bryter mot eventuella juridiska skyldigheter.