Suunto 承诺会确保所有使用我们的设备和服务的用户安全。通常,自设备或服务首次上市销售或投入商用起至少 2 年内,我们都会提供安全更新,修复已确认在我们的设备和服务中存在的漏洞。我们鼓励所有用户报告识别的漏洞,并希望以负责任的方式向我们披露漏洞,我们对您提供的帮助不胜感激。
本漏洞披露政策适用于您考虑向我们报告的所有漏洞。我们建议您在报告漏洞之前先完整阅读本漏洞披露政策,并始终按照政策说明执行操作。
我们高度重视花费时间和精力按照本政策报告安全漏洞的用户。不过,我们不会针对漏洞披露提供任何酬金。
# 报告
如果您认为自己发现了安全漏洞,请通过以下电子邮件地址向我们发送电子邮件提交内容: security@suunto.com。
请在报告中包含以下内容的详细信息:
- 可以观察到漏洞的具体设备、网站、IP 或页面;
- 简短描述漏洞类型,例如“XSS 漏洞”;
- 再现步骤。这些内容应该是良性的非破坏性概念验证。
这有助于确保快速准确地筛选报告。同时,还可降低重复报告或某些漏洞遭到恶意利用(例如接管子域)的可能性。
如果您报告的不是安全问题,我们无法对您的信息作出回应。对于非安全问题(包括 Suunto App 帐户问题、电子邮件地址、密码、设备丢失或被盗、隐私问题),请访问 www.suunto.com/Support/。
# 预期会进行的事项
在您提交报告后,我们会在 7 个工作日内针对您的报告作出回复。我们还会在问题得到解决之前告知您我们的处理进度。
我们会根据影响、严重性和漏洞利用复杂性评估修复优先级。可能需要花费一些时间来筛选或解决漏洞报告。欢迎您查询相关状态,不过建议 14 天内查询一次即可,以便我们的团队可以集中精力进行修复。
我们会在报告的漏洞得到修复后通知您,并邀请您确认解决方案是否可以恰当地修复漏洞。
在解决漏洞后,我们欢迎各方提出披露您的报告的请求。
我们想要为受影响客户提供统一指导,因此,请继续与我们一起协调公开发布。
# 指导
不得出现以下情况:
- 违反所有适用的法律或法规;
- 访问不必要、过多或大量数据;
- 修改我们的系统或服务中的数据;
- 使用高强度侵入性或破坏性扫描工具查找漏洞;
- 尝试或报告任意形式的拒绝服务,例如通过发送大量请求让服务不堪重负;
- 破坏我们的服务或系统;
- 提交的报告详述不可利用的漏洞或指明服务与“最佳实践”不完全一致,例如缺少安全标头
- 提交的报告详述 TLS 配置弱点,例如密码套件支持“弱”或存在 TLS1.0 支持;
- 通过已发布政策中介绍的方式之外的方式传达所有漏洞或相关详细信息;
- 作为社交工程攻击者,对 Suunto 的员工或基础设施进行网络钓鱼或物理攻击;
- 要求提供经济补偿才会披露任何漏洞。
必须遵循以下要求:
- 始终遵守数据保护规则,不得违反 Suunto 用户、员工、承包商、服务或系统隐私规定。例如,不得共享、再分发从系统或服务检索的数据或无法正确保护这些数据的安全。
- 对于在调查期间检索的所有数据,请在不需要这些数据后将其安全删除或者在漏洞解决后的 1 个月内进行删除,以先到者为准(或者根据数据保护法要求进行删除)。
# 合法性
本政策旨在与通用漏洞披露良好实践协调一致。不允许措施实施方式违法或可能导致 Suunto 或合作伙伴组织违反任何法律义务。