協調漏洞揭露 (CVD) 流程由 ZOLL ^®建立，旨在為負責任地報告、調查和解決 ZOLL 醫療設備安全漏洞提供結構化框架。 此流程的目標是確保我們的醫療設備的安全性和可靠性，同時與安全社群保持開放的溝通。

範圍

協調漏洞揭露 (CVD) 流程適用於 ZOLL 開發和提供供外部使用的所有軟體、硬體和相關係統。 CVD 流程無意為我們的產品提供技術支援或報告不良事件或品質投訴。

如需 ZOLL 產品客戶支持，請造訪https://www.zoll.com/contact/customer-service 。

我們對您的要求

• 遵守您所在位置以及 ZOLL 產品所在位置的所有適用法律和法規；
• 請勿利用漏洞採取不成比例的行動，例如利用漏洞而不是證明其存在、從產品中刪除敏感資料或在產品中創建後門或以其他方式將更多漏洞引入產品中以供後續使用；
• 請勿參與存在任何患者傷害風險的系統研究或測試；
• 請勿在臨床環境或其他活躍環境中測試產品或網路基礎設施，其中產品用於任何類型的患者診斷、治療、護理或監測，或可能無意中以這種方式使用；
• 任何打算隨後在臨床環境中使用的產品應在測試結束時恢復到原始狀態。
• 在與 ZOLL 共同商定的期限到期之前，請勿向公眾披露漏洞詳細信息
• 如果可能的話，用英文撰寫報告

注意：僅包含故障轉儲或其他自動化工具輸出的報告可能會獲得較低的優先順序。

報告程序

1. 協調漏洞揭露報告應透過電子郵件提交至[email protected]，並包含以下資訊：
   1. 聯絡資訊（姓名、組織、電子郵件、電話號碼）
   2. 受影響的產品的名稱和版本
   3. 描述該漏洞及其發現方式
   4. 是否有證據顯示此漏洞正在被積極利用？
   5. 您打算公開揭露此漏洞嗎？
   6. 如果我們發布解決該漏洞的文檔，您是否願意因發現該漏洞而獲得榮譽？
2. 收到初步報告後，ZOLL Product Security 將為您提供一種安全傳輸詳細漏洞資訊的方法。

對 ZOLL 有何期望

• 我們將在 4 個工作天內確認收到您的報告
• 我們將為您指派一名個人作為 POC，負責您的報告和持續溝通
• 我們將調查潛在的漏洞
• 我們會將潛在的發現轉交給適當的產品團隊進行驗證和複製。 在此階段，我們可能會聯絡您提供更多資訊。
• 我們將進行風險分析以確定適當的行動
• 我們將為您提供整個過程中的調查結果摘要
• 如果需要，我們將為發現漏洞提供信用

注意

如果您決定與 ZOLL 共享任何信息，則您同意您提交的信息將被視為非專有和非機密信息，並且 ZOLL 可以以任何方式全部或部分使用此類信息，沒有任何限制。 此外，您同意提交資訊並不會為您創造任何權利，也不為 ZOLL 創造任何義務。