조정된 취약점 공개(CVD) 프로세스는 ZOLL에서 수립한 것입니다.^® 에서 설정한 것으로, ZOLL 의료 기기 보안 취약점의 책임 있는 보고, 조사 및 해결을 위한 구조화된 프레임워크를 제공합니다. 이 프로세스의 목표는 보안 커뮤니티와 열린 소통을 유지하면서 의료 기기의 안전, 보안 및 신뢰성을 보장하는 것입니다.

범위

조정된 취약점 공개(CVD) 프로세스는 외부 사용을 위해 ZOLL이 개발하고 제공하는 모든 소프트웨어, 하드웨어 및 관련 시스템에 적용됩니다. CVD 프로세스는 제품에 대한 기술 지원을 제공하거나 부작용 또는 품질 불만을 보고하기 위한 것이 아닙니다.

ZOLL 제품 고객 지원은 https://www.zoll.com/contact/customer-service 에서 확인하시기 바랍니다.

당사가 귀하에게 요청하는 사항

• 귀하가 위치한 지역과 ZOLL 제품이 위치한 지역의 모든 관련 법률 및 규정을 준수하십시오;
• 취약점의 존재를 증명하는 것 이외의 목적으로 취약점을 악용하거나, 제품에서 민감한 데이터를 제거하거나, 제품 내에 백도어를 만들거나, 후속 사용을 위해 제품에 추가 취약점을 도입하는 등 불균형적인 조치를 취하기 위해 취약점을 사용해서는 안 됩니다;
• 환자에게 해를 끼칠 위험이 있는 시스템에 대한 연구나 테스트에 참여하지 마세요;
• 임상 환경이나 기타 환자 진단, 치료, 관리 또는 모니터링에 제품이 사용 중이거나 실수로 이러한 방식으로 사용될 수 있는 기타 활동적인 환경에서 제품 또는 네트워크 인프라를 테스트하지 마세요;
• 이후 임상 환경에서 사용하려는 모든 제품은 테스트가 종료되면 원래 상태로 되돌려야 합니다;
• ZOLL과 상호 합의한 기간이 만료되기 전에는 취약점 세부 정보를 공개하지 않습니다.
• 가능하면 영어로 작성된 보고서

참고: 크래시 덤프 또는 기타 자동화된 도구 출력만 포함된 보고서는 우선 순위가 낮아질 수 있습니다.

보고 절차

1. 조정된 취약점 공개 보고서는 다음 정보와 함께 이메일( [email protected] )을 통해 제출해야 합니다:
   1. 연락처 정보(이름, 소속, 이메일, 전화번호)
   2. 영향을 받는 제품/제품의 이름 및 버전
   3. 취약점과 취약점이 발견된 방법을 설명하세요.
   4. 이 취약점이 적극적으로 악용되고 있다는 증거가 있나요?
   5. 이 취약점을 공개적으로 공개할 계획이 있나요?
   6. 취약점을 다루는 문서를 게시하면 취약점을 발견한 공로를 인정받고 싶으신가요?
2. 초기 보고 후 ZOLL 제품 보안은 자세한 취약점 정보를 안전하게 전송할 수 있는 방법을 제공합니다.

ZOLL에서 기대할 수 있는 것

• 영업일 기준 4일 이내에 신고 접수 여부를 확인합니다.
• 보고 및 지속적인 커뮤니케이션을 위해 담당자를 POC로 지정해 드립니다.
• 잠재적인 취약점을 조사합니다.
• 잠재적인 발견 사항을 해당 제품 팀에 전달하여 검증 및 재현을 진행합니다. 이 단계에서 추가 정보 제공을 위해 연락을 받을 수 있습니다.
• 적절한 조치를 결정하기 위해 위험 분석을 실시합니다.
• 프로세스 전반에 걸쳐 조사 결과를 요약하여 알려드립니다.
• 요청이 있는 경우 취약점 발견에 대한 크레딧을 제공합니다.

공지 사항

ZOLL과 정보를 공유하기로 결정한 경우, 귀하는 제출한 정보가 비독점적이고 기밀이 아닌 것으로 간주되며 ZOLL이 해당 정보의 전체 또는 일부를 제한 없이 어떤 방식으로든 사용할 수 있음에 동의합니다. 또한 귀하는 정보 제출이 귀하에게 어떠한 권리나 ZOLL에 대한 의무를 발생시키지 않는다는 데 동의합니다.