El proceso de divulgación coordinada de vulnerabilidades (CVD) es establecido por ZOLL® para proporcionar un marco estructurado para la notificación, investigación y resolución responsables de las vulnerabilidades de seguridad de los dispositivos médicos de ZOLL. El objetivo de este proceso es garantizar la seguridad, protección y confiabilidad de nuestros dispositivos médicos mientras mantenemos una comunicación abierta con la comunidad de seguridad.
Alcance
El proceso de divulgación coordinada de vulnerabilidades (CVD) se aplica a todo el software, hardware y sistemas asociados desarrollados y proporcionados por ZOLL para uso externo. El proceso de CVD no está destinado a proporcionar soporte técnico sobre nuestros productos ni a informar sobre eventos adversos o quejas de calidad.
Para obtener asistencia al cliente de productos ZOLL, visite https://www.zoll.com/contact/customer-service.
Lo que te pedimos
- Cumplir con todas las leyes y regulaciones aplicables de su ubicación y de la ubicación en la que se encuentra el producto ZOLL;
- No utilice una vulnerabilidad para tomar medidas desproporcionadas, como explotar una vulnerabilidad que no sea para demostrar su existencia, eliminar datos confidenciales del producto o crear una puerta trasera dentro o introducir más vulnerabilidades en un producto para su uso posterior;
- No participe en investigaciones o pruebas de sistemas en los que exista algún riesgo de daño al paciente;
- No pruebe los productos o la infraestructura de red en entornos clínicos u otros entornos activos en los que los productos se utilicen para cualquier tipo de diagnóstico, tratamiento, atención o monitorización del paciente, o en los que puedan utilizarse inadvertidamente de esta manera;
- Cualquier producto destinado a su uso posterior en un entorno clínico debe devolverse a su estado original cuando concluyan las pruebas.
- No divulgue los detalles de la vulnerabilidad al público antes de que haya expirado un plazo mutuamente acordado con ZOLL
- Informes escritos en inglés, si es posible
Nota: Los informes que incluyen solo volcados de memoria u otros resultados de herramientas automatizadas pueden recibir una prioridad menor.
Procedimiento de presentación de informes
- Los Informes Coordinados de Divulgación de Vulnerabilidades se enviarán por correo electrónico a [email protected] con la siguiente información:
- Información de contacto (nombre, organización, correo electrónico, número de teléfono)
- Nombre y versión del producto o productos afectados
- Describa la vulnerabilidad y cómo se descubrió
- ¿Hay pruebas de que esta vulnerabilidad se esté explotando activamente?
- ¿Planea divulgar públicamente esta vulnerabilidad?
- ¿Le gustaría que se le atribuyera el descubrimiento de la vulnerabilidad si publicamos un documento que aborde la vulnerabilidad?
- Después del informe inicial, ZOLL Product Security le proporcionará un método para transferir de forma segura información detallada sobre vulnerabilidades.
Qué ESPERAR de ZOLL
- Acusaremos recibo de su informe en un plazo de 4 días hábiles
- Le asignaremos a una persona como POC para su informe y comunicación continua
- Investigaremos la posible vulnerabilidad
- Dirigiremos los posibles hallazgos a los equipos de productos apropiados para su verificación y reproducción. Es posible que nos pongamos en contacto con usted para proporcionar información adicional en esta etapa.
- Llevaremos a cabo un análisis de riesgos para determinar las medidas adecuadas
- Le proporcionaremos un resumen de nuestros hallazgos a lo largo del proceso
- Proporcionaremos crédito por el descubrimiento de la vulnerabilidad, si así se solicita
Notar
En el caso de que decida compartir cualquier información con ZOLL, acepta que la información que envíe se considerará no propietaria y no confidencial y que ZOLL puede usar dicha información de cualquier manera, en su totalidad o en parte, sin ninguna restricción. Además, usted acepta que el envío de información no crea ningún derecho para usted ni ninguna obligación para ZOLL.