Le processus de divulgation coordonnée des vulnérabilités (CVD) est établi par ZOLL® pour fournir un cadre structuré pour le signalement, l’enquête et la résolution responsables des vulnérabilités de sécurité des dispositifs médicaux ZOLL. L’objectif de ce processus est d’assurer la sûreté et la fiabilité de nos dispositifs médicaux tout en maintenant une communication ouverte avec la communauté de la sécurité.
Portée
Le processus de divulgation coordonnée des vulnérabilités (CVD) s’applique à tous les logiciels, matériels et systèmes associés développés et fournis par ZOLL pour un usage externe. Le processus CVD n’est pas destiné à fournir une assistance technique sur nos produits ou à signaler des événements indésirables ou des plaintes relatives à la qualité.
Pour le support client des produits ZOLL, veuillez visiter https://www.zoll.com/contact/customer-service.
Ce que nous vous demandons
- Se conformer à toutes les lois et réglementations applicables de votre emplacement et de l’emplacement dans lequel se trouve le produit ZOLL ;
- N’utilisez pas une vulnérabilité pour prendre des mesures disproportionnées, telles que l’exploitation d’une vulnérabilité autre que pour prouver son existence, la suppression de données sensibles du produit ou la création d’une porte dérobée à l’intérieur ou l’introduction d’une vulnérabilité supplémentaire dans un produit pour une utilisation ultérieure ;
- Ne pas s’engager dans la recherche ou la mise à l’essai de systèmes où il existe un risque de préjudice pour le patient ;
- Ne testez pas les produits ou l’infrastructure réseau en milieu clinique ou dans d’autres environnements actifs où les produits sont utilisés pour tout type de diagnostic, de traitement, de soins ou de surveillance des patients, ou pourraient être utilisés par inadvertance de cette manière ;
- Tout produit destiné à une utilisation ultérieure en milieu clinique doit être remis dans son état d’origine à la fin des essais.
- Ne divulguez pas les détails de la vulnérabilité au public avant l’expiration d’un délai convenu d’un commun accord avec ZOLL
- Rapports rédigés en anglais, si possible
Note: Les rapports qui incluent uniquement des vidages sur incident ou d’autres sorties d’outils automatisés peuvent recevoir une priorité inférieure.
Procédure de rapport
- Les rapports coordonnés de divulgation des vulnérabilités doivent être envoyés par e-mail à productsecurity@zoll.com avec les informations suivantes :
- Coordonnées (nom, organisation, courriel, numéro de téléphone)
- Nom et version du ou des produits touchés
- Décrire la vulnérabilité et la manière dont elle a été découverte
- Existe-t-il des preuves que cette vulnérabilité est activement exploitée ?
- Prévoyez-vous de divulguer publiquement cette vulnérabilité ?
- Aimeriez-vous être crédité de la découverte de la vulnérabilité si nous publions un document traitant de la vulnérabilité ?
- Après le rapport initial, ZOLL Product Security vous fournira une méthode pour transférer en toute sécurité des informations détaillées sur les vulnérabilités.
À quoi s’attendre de ZOLL
- Nous accuserons réception de votre signalement dans les 4 jours ouvrables
- Nous vous attribuerons une personne en tant que POC pour votre rapport et votre communication continue
- Nous étudierons la vulnérabilité potentielle
- Nous transmettrons les résultats potentiels aux équipes de produits appropriées pour vérification et reproduction. Vous pouvez être contacté pour fournir des informations supplémentaires à ce stade.
- Nous effectuerons une analyse des risques pour déterminer les mesures appropriées
- Nous vous fournirons un résumé de nos conclusions tout au long du processus
- Nous fournirons un crédit pour la découverte de la vulnérabilité, si nécessaire
Remarquer
Dans le cas où vous décidez de partager des informations avec ZOLL, vous acceptez que les informations que vous soumettez soient considérées comme non exclusives et non confidentielles et que ZOLL soit autorisé à utiliser ces informations de quelque manière que ce soit, en tout ou en partie, sans aucune restriction. En outre, vous acceptez que la soumission d’informations ne crée aucun droit pour vous ni aucune obligation pour ZOLL.