Der Coordinated Vulnerability Disclosure (CVD)-Prozess wurde von ZOLL® eingeführt, um einen strukturierten Rahmen für die verantwortungsvolle Meldung, Untersuchung und Behebung von Sicherheitslücken in Medizinprodukten von ZOLL bereitzustellen. Das Ziel dieses Prozesses besteht darin, die Sicherheit und Zuverlässigkeit unserer medizinischen Geräte zu gewährleisten und gleichzeitig eine offene Kommunikation mit der Sicherheits-Community aufrechtzuerhalten.
Umfang
Der Coordinated Vulnerability Disclosure (CVD)-Prozess gilt für sämtliche Software, Hardware und zugehörigen Systeme, die von ZOLL für die externe Verwendung entwickelt und bereitgestellt werden. Der CVD-Prozess ist nicht dazu gedacht, technischen Support für unsere Produkte zu bieten oder unerwünschte Ereignisse oder Qualitätsbeschwerden zu melden.
Den Kundensupport für ZOLL-Produkte finden Sie unter https://www.zoll.com/contact/customer-service.
Unsere Anforderungen an Sie
- Befolgen Sie alle geltenden Gesetze und Vorschriften Ihres Standorts und des Standorts, an dem sich das ZOLL-Produkt befindet.
- Nutzen Sie eine Schwachstelle nicht für unverhältnismäßige Maßnahmen aus, z. B. indem Sie eine Schwachstelle nicht zu anderen Zwecken als zum Nachweis ihrer Existenz ausnutzen, vertrauliche Daten aus dem Produkt entfernen oder eine Hintertür in ein Produkt einbauen oder auf andere Weise weitere Schwachstellen in ein Produkt einführen, um sie später zu verwenden.
- Beteiligen Sie sich nicht an der Forschung oder Prüfung von Systemen, bei denen das Risiko einer Patientengefährdung besteht;
- Testen Sie Produkte oder Netzwerkinfrastruktur nicht in klinischen Einrichtungen oder anderen aktiven Umgebungen, in denen die Produkte für irgendeine Art von Patientendiagnose, -behandlung, -pflege oder -überwachung verwendet werden oder versehentlich auf diese Weise verwendet werden könnten;
- Jedes Produkt, das für die spätere Verwendung in einer klinischen Umgebung vorgesehen ist, sollte nach Abschluss der Tests wieder in seinen Originalzustand versetzt werden.
- Geben Sie keine Details zu Sicherheitslücken an die Öffentlichkeit weiter, bevor der mit ZOLL vereinbarte Zeitraum abgelaufen ist.
- Berichte möglichst in englischer Sprache verfasst
Hinweis: Berichte, die nur Absturzabbilder oder andere automatisierte Tool-Ausgaben enthalten, erhalten möglicherweise eine niedrigere Priorität.
Meldeverfahren
- Koordinierte Berichte zur Offenlegung von Sicherheitslücken müssen per E-Mail an [email protected] mit den folgenden Informationen gesendet werden:
- Kontaktinformationen (Name, Organisation, E-Mail, Telefonnummer)
- Name und Version des/der betroffenen Produkts/Produkte
- Beschreiben Sie die Schwachstelle und wie sie entdeckt wurde
- Gibt es Hinweise darauf, dass diese Schwachstelle aktiv ausgenutzt wird?
- Planen Sie, diese Sicherheitslücke öffentlich bekannt zu geben?
- Möchten Sie als Entdecker der Schwachstelle erwähnt werden, wenn wir ein Dokument veröffentlichen, in dem diese Schwachstelle behandelt wird?
- Nach der ersten Meldung stellt Ihnen ZOLL Product Security eine Methode zur sicheren Übertragung detaillierter Informationen zu Schwachstellen bereit.
Was Sie von ZOLL erwarten können
- Wir bestätigen den Eingang Ihres Berichts innerhalb von 4 Werktagen
- Wir weisen Ihnen eine Person als Ansprechpartner für Ihren Bericht und die weitere Kommunikation zu
- Wir werden die potenzielle Schwachstelle untersuchen
- Wir werden die möglichen Ergebnisse zur Überprüfung und Reproduktion an die entsprechenden Produktteams weiterleiten. Möglicherweise werden Sie zu diesem Zeitpunkt kontaktiert, um uns weitere Informationen zukommen zu lassen.
- Wir führen eine Risikoanalyse durch, um geeignete Maßnahmen festzulegen
- Wir stellen Ihnen eine Zusammenfassung unserer Ergebnisse während des gesamten Prozesses zur Verfügung
- Auf Anfrage werden wir die Entdeckung der Schwachstelle gutschreiben.
Beachten
Für den Fall, dass Sie sich dazu entschließen, Informationen an ZOLL weiterzugeben, erklären Sie sich damit einverstanden, dass die von Ihnen übermittelten Informationen als nicht urheberrechtlich geschützt und nicht vertraulich betrachtet werden und dass ZOLL diese Informationen ohne jegliche Einschränkung in jeglicher Weise ganz oder teilweise verwenden darf. Darüber hinaus erklären Sie sich damit einverstanden, dass durch die Übermittlung von Informationen weder Rechte für Sie noch Verpflichtungen für ZOLL entstehen.