Le processus de divulgation coordonnée des vulnérabilités (CVD) est établi par ZOLL® pour fournir un cadre structuré pour le signalement, l’enquête et la résolution responsables des vulnérabilités de sécurité des dispositifs médicaux ZOLL. L’objectif de ce processus est d’assurer la sûreté, la sécurité et la fiabilité de nos dispositifs médicaux tout en maintenant une communication ouverte avec la communauté de la sécurité.
Champ d’application
Le processus de divulgation coordonnée des vulnérabilités (CVD) s’applique à tous les logiciels, matériels et systèmes associés développés et fournis par ZOLL à des fins externes. Le processus de MCV n’est pas destiné à fournir un soutien technique sur nos produits ou à signaler des événements indésirables ou des plaintes relatives à la qualité.
Pour le support client produit ZOLL, veuillez visiter https://www.zoll.com/contact/customer-service.
Ce que nous vous demandons
- Se conformer à toutes les lois et réglementations applicables de votre emplacement et de l’emplacement dans lequel le produit ZOLL est situé ;
- N’utilisez pas une vulnérabilité pour prendre des mesures disproportionnées, telles que l’exploitation d’une vulnérabilité autre que pour prouver son existence, la suppression de données sensibles du produit ou la création d’une porte dérobée à l’intérieur ou l’introduction d’une autre vulnérabilité dans un produit pour une utilisation ultérieure ;
- Ne vous engagez pas dans la recherche ou la mise à l’essai de systèmes où il y a un risque de préjudice pour le patient ;
- Ne testez pas les produits ou l’infrastructure réseau dans des contextes cliniques ou d’autres environnements actifs où les produits sont utilisés pour tout type de diagnostic, de traitement, de soins ou de surveillance des patients, ou pourraient être utilisés par inadvertance de cette manière ;
- Tout produit destiné à être utilisé ultérieurement en milieu clinique doit être remis à son état d’origine lorsque les essais sont terminés ;
- Ne divulguez pas les détails de la vulnérabilité au public avant l’expiration d’un délai mutuellement convenu avec ZOLL
- Rapports rédigés en anglais, si possible
Remarque : Les rapports qui incluent uniquement des vidages d’incident ou d’autres sorties d’outils automatisés peuvent recevoir une priorité inférieure.
Procédure d’établissement de rapports
- Les rapports coordonnés de divulgation de la vulnérabilité doivent être soumis par courriel aux [email protected] avec les informations suivantes :
- Coordonnées (nom, organisation, courriel, numéro de téléphone)
- Nom et version du ou des produits touchés
- Décrire la vulnérabilité et comment elle a été découverte
- Y a-t-il des preuves que cette vulnérabilité est activement exploitée ?
- Prévoyez-vous de divulguer publiquement cette vulnérabilité ?
- Souhaitez-vous être crédité de la découverte de la vulnérabilité si nous publions un document traitant de la vulnérabilité ?
- Suite au rapport initial, ZOLL Product Security vous fournira une méthode pour transférer en toute sécurité des informations détaillées sur les vulnérabilités.
À quoi s’attendre de ZOLL
- Nous accuserons réception de votre rapport dans les 4 jours ouvrables
- Nous vous désignerons une personne comme POC pour votre rapport et la communication continue
- Nous étudierons la vulnérabilité potentielle
- Nous dirigerons les conclusions potentielles vers les équipes de produits appropriées pour vérification et reproduction. Vous pouvez être contacté pour fournir des informations supplémentaires à ce stade.
- Nous effectuerons une analyse des risques pour déterminer les mesures appropriées
- Nous vous fournirons un résumé de nos conclusions tout au long du processus
- Nous fournirons le crédit pour la découverte de la vulnérabilité, si demandé
Avis
Dans le cas où vous décidez de partager des informations avec ZOLL, vous acceptez que les informations que vous soumettez soient considérées comme non exclusives et non confidentielles et que ZOLL soit autorisée à utiliser ces informations de quelque manière que ce soit, en tout ou en partie, sans aucune restriction. En outre, vous acceptez que la soumission d’informations ne crée aucun droit pour vous ou aucune obligation pour ZOLL.