Het Coordinated Vulnerability Disclosure (CVD)-proces is door ZOLL® opgezet om een gestructureerd kader te bieden voor het verantwoord melden, onderzoeken en oplossen van beveiligingsproblemen in medische hulpmiddelen van ZOLL. Het doel van dit proces is om de veiligheid, beveiliging en betrouwbaarheid van onze medische hulpmiddelen te waarborgen en tegelijkertijd open communicatie met de beveiligingsgemeenschap te behouden.
Draagwijdte
Het Coordinated Vulnerability Disclosure (CVD)-proces is van toepassing op alle software, hardware en bijbehorende systemen die door ZOLL zijn ontwikkeld en geleverd voor extern gebruik. Het CVD-proces is niet bedoeld om technische ondersteuning te bieden voor onze producten of voor het melden van bijwerkingen of kwaliteitsklachten.
Ga voor de klantenondersteuning van ZOLL-producten naar https://www.zoll.com/contact/customer-service.
Wat wij van jou vragen
- Voldoen aan alle toepasselijke wet- en regelgeving van uw locatie en de locatie waar het ZOLL-product zich bevindt;
- Gebruik een kwetsbaarheid niet om onevenredige maatregelen te nemen, zoals het misbruiken van een kwetsbaarheid anders dan om het bestaan ervan te bewijzen, het verwijderen van gevoelige gegevens uit het product of het creëren van een achterdeur binnen of het anderszins introduceren van verdere kwetsbaarheden in een product voor later gebruik;
- Doe niet mee aan onderzoek of testen van systemen waarbij er enig risico bestaat op schade aan de patiënt;
- Test geen producten of netwerkinfrastructuur in klinische omgevingen of andere actieve omgevingen waar de producten worden gebruikt voor enige vorm van diagnose, behandeling, zorg of monitoring van patiënten, of onbedoeld op deze manier kunnen worden gebruikt;
- Elk product dat bestemd is voor later gebruik in een klinische setting, moet na afloop van de test in zijn oorspronkelijke staat worden teruggebracht.
- Maak details over kwetsbaarheden niet openbaar voordat een met ZOLL overeengekomen termijn is verstreken
- Rapporten geschreven in het Engels, indien mogelijk
Notitie: Rapporten die alleen crashdumps of andere geautomatiseerde tooluitvoer bevatten, krijgen mogelijk een lagere prioriteit.
Meldingsprocedure
- Gecoördineerde meldingen van openbaarmaking van kwetsbaarheden worden per e-mail ingediend bij [email protected] met de volgende informatie:
- Contactgegevens (naam, organisatie, e-mail, telefoonnummer)
- Naam en versie van het (de) betrokken product(en)
- Beschrijf het beveiligingslek en hoe het is ontdekt
- Zijn er aanwijzingen dat dit beveiligingslek actief wordt misbruikt?
- Bent u van plan dit beveiligingslek openbaar te maken?
- Wilt u gecrediteerd worden voor het ontdekken van de kwetsbaarheid als we een document publiceren waarin de kwetsbaarheid wordt aangepakt?
- Na de eerste melding biedt ZOLL Product Security u een methode om gedetailleerde informatie over kwetsbaarheden veilig over te dragen.
Wat u van ZOLL kunt verwachten
- Wij bevestigen de ontvangst van uw melding binnen 4 werkdagen
- We zullen u een persoon toewijzen als POC voor uw melding en verdere communicatie
- We zullen de mogelijke kwetsbaarheid onderzoeken
- We zullen de mogelijke bevindingen doorsturen naar de juiste productteams voor verificatie en reproductie. In dit stadium kan er contact met u worden opgenomen om aanvullende informatie te verstrekken.
- We zullen een risicoanalyse uitvoeren om passende maatregelen te bepalen
- We zullen u gedurende het hele proces een samenvatting geven van onze bevindingen
- Op verzoek zullen wij krediet verstrekken voor het ontdekken van de kwetsbaarheid
Bemerken
In het geval dat u besluit om informatie met ZOLL te delen, gaat u ermee akkoord dat de informatie die u verstrekt wordt beschouwd als niet-eigendomsrechtelijk beschermd en niet-vertrouwelijk en dat ZOLL dergelijke informatie op welke manier dan ook, geheel of gedeeltelijk, zonder enige beperking mag gebruiken. Bovendien gaat u ermee akkoord dat het verstrekken van informatie geen rechten voor u schept of enige verplichting voor ZOLL.