Suunto verpflichtet sich, die Sicherheit und den Schutz alle Personen zu gewährleisten, die unsere Geräte und Dienste nutzen. In der Regel stellen wir Sicherheitsupdates bereit, mit denen bestätigte Schwachstellen an unserem Gerät spätestens innerhalb von 2 Jahren behoben werden, nachdem das Gerät oder der Dienst zum Verkauf oder für den kommerziellen Einsatz angeboten wurde. Jeder Nutzer sollte erkannte Schwachstellen melden und wir schätzen es sehr, wenn Sie uns auf verantwortungsvolle Weise über diese Schwachstellen informieren.

Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, deren Meldung Sie in Betracht ziehen. Bevor Sie eine Schwachstelle melden, sollten Sie diese Richtlinie zur Offenlegung von Schwachstellen vollständig lesen und Schwachstellen immer gemäß der Richtlinie melden.

Wir schätzen Personen, die gemäß dieser Richtlinie Schwachstellen melden. Dennoch bieten wir keine finanzielle Entschädigung für die Offenlegung von Schwachstellen.

# Meldung

Wenn Sie der Meinung sind, eine Sicherheitsschwachstelle entdeckt zu haben, senden Sie uns bitte eine E-Mail an die folgende Adresse: security@suunto.com.

Ihre Meldung muss Details zu Folgendem enthalten:

• Das betroffene Gerät, die betroffene Website, IP oder Seite, an dem oder auf der die Schwachstelle zu beobachten ist;
• Eine kurze Beschreibung der Art der Schwachstelle, z. B. „XSS-Schwachstelle“;
• Schritte zur Reproduzierung. Der Nachweis sollte respektvoll und nicht aggressiv sein.

Dies sorgt dafür, dass die Meldung schnell und zutreffend bearbeitet werden kann. Sinken damit die Wahrscheinlichkeit doppelter Meldungen oder böswilliger Nutzung bestimmter Schwachstellen, wie z. B. durch die Übernahme von Subdomains.

Wenn Sie kein Sicherheitsproblem melden, können wir nicht auf Ihre Nachricht antworten. Bei Problemen, die nicht die Sicherheit betreffen (z. B. Probleme mit Ihrem Suunto App-Konto, der E-Mail-Adresse, dem Passwort, verlorenen oder gestohlenen Geräten oder Datenschutzbedenken), besuchen Sie Suunto Support.

# Erwartungen

Wenn Sie Ihre Meldung eingereicht haben, antworten wir innerhalb von 7 Arbeitstagen darauf. Außerdem versuchen wir, Sie über den Fortschritt der Problemlösung zu informieren.

Die Priorität für die Lösung wird aufgrund des Schweregrads und der Komplexität der Sicherheitslücke bewertet. Es kann einige Zeit dauern, bis Meldungen zu Schwachstellen eingeordnet oder bearbeitet werden. Gerne können Sie den Status anfragen, sollten aber dies aber höchstens alle 14 Tage tun. Nur so kann unser Team sich auf die Problemlösung konzentrieren.

Wenn die gemeldete Schwachstelle behoben ist, informieren wir Sie und Sie können bestätigen, dass die Lösung die Schwachstelle angemessen behoben hat.

Sobald Ihre Schwachstelle behoben ist, freuen wir uns über Anfragen zur Offenlegung Ihrer Meldung.

Wir möchten die Anleitungen für die betroffenen Benutzer vereinheitlichen. Daher bitten wir Sie, die Offenlegung weiterhin mit uns zu koordinieren.

# Anleitung

Sie dürfen Folgendes NICHT tun:

• Gegen geltende Gesetze oder Pflichten verstoßen;
• Unnötige, übermäßige oder erhebliche Datenmengen sammeln;
• Daten in unseren System oder Diensten verändern;
• Invasive oder aggressive Scan-Tools mit hoher Intensität zur Erkennung von Schwachstellen zu finden;
• Denial of Service-Angriffe ausführen oder in irgendeiner Form melden, z. B. durch eine hohe Anzahl von Anforderungen;Unsere Dienste oder Systeme unterbrechen;
• Meldungen einreichen, die nicht angreifbare Schwachstellen enthalten oder darauf hinweisen, dass Dienste nicht vollständig den „Best Practices“ entsprechen, z. B. weil sie keine Sicherheitskopfzeile enthalten;
• Meldungen einreichen, die Schwächen an der TLS-Konfiguration beinhalten, z. B. zu einer „schwachen“ Unterstützung von Cipher Suite oder zum vorhandenen TLS1.0-Support;
• Schwachstellen oder alle Details dazu an anderer Stelle als in der veröffentlichten Richtlinie beschreiben;
• Die Mitarbeiter oder Infrastruktur von Suunto durch Social Engineering, Phishing oder physische Attacken angreifen;
• Finanzielle Entschädigung anfordern, um Schwachstellen offenzulegen.
• Sie MÜSSEN:

Immer die Datenschutzrichtlinien beachten und nie die Privatsphäre der Nutzer, Mitarbeiter, Partner, Dienste oder Systeme von Suunto verletzen. Sie dürfen z. B. Daten, die Sie aus den Diensten oder Systemen erhalten haben nicht teilen, verteilen, unsachgemäß sichern oder anderweitig schützen.

• Alle Daten, die Sie während Ihrer Recherche erfasst haben, löschen, sobald sie nicht mehr benötigt werden, spätestens aber innerhalb von 1 Monat nach der Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie anderweitig in Datenschutzgesetzen festgelegt).
• # Rechtliches

Diese Richtlinie ist so gestaltet, dass sie allgemein gültigen Richtlinien zur Offenlegung von Schwachstellen entspricht. Sie erteilt Ihnen nicht die Berechtigung, so zu handeln, dass Sie gegen ein Gesetz verstoßen, oder zu verursachen, dass Suunto oder die Partnerorganisationen gegen eine gesetzliche Verpflichtung verstoßen.

This policy is designed to be compatible with common vulnerability disclosure good practice. It does not give you permission to act in any manner that is inconsistent with the law, or which might cause Suunto or partner organisations to be in breach of any legal obligations.