Divulgation coordonnée des vulnérabilités

Politique de sécurité des produits Carestream

Carestream Health s'engage à fournir des produits et des services sécurisés à nos clients et nos patients. Nous nous efforçons de maintenir et d'améliorer la sécurité de nos dispositifs et systèmes médicaux tout au long du cycle de vie du produit, y compris l'utilisation des pratiques suivantes, le cas échéant :

  • Sécurité dès la conception
  • Gestion des risques de sécurité
  • Pratiques de codage sécurisées
  • Pratiques d'analyse et de test de sécurité
  • Pratiques d'admission et de gestion des vulnérabilités
  • Surveillance de la vulnérabilité des logiciels tiers
  • Gestion des correctifs
  • Partage d'informations avec des organisations pertinentes du secteur telles que H-ISAC
  • Pratiques de réponse aux événements et aux incidents

Carestream Health reconnaît la nécessité de partager des informations relatives à la sécurité pour mieux comprendre les menaces et protéger nos clients, patients et l'ensemble de l'infrastructure de soins de santé. Nous nous engageons également à faire en sorte que nos clients reçoivent des informations relatives aux vulnérabilités et à toutes les mesures appropriées qui doivent être prises pour assurer la confidentialité, l'intégrité et la disponibilité de nos produits et services. Afin de remplir ces engagements, Carestream Health contribue aux efforts pour favoriser des programmes mondiaux de communication, de gestion d'événements et de partage d'informations.

Divulgation coordonnée des vulnérabilités

Les chercheurs indépendants en cybersécurité sont une source précieuse d'informations sur la posture de sécurité de nombreux produits manufacturés. L'objectif de Carestream est de’ coopérer et de se concerter avec ces chercheurs concernant les vulnérabilités qu'ils découvrent dans nos produits. Les informations ci-dessous décrivent le processus de divulgation coordonnée des vulnérabilités par lequel des chercheurs indépendants en cybersécurité peuvent collaborer avec nous pour signaler les vulnérabilités des dispositifs médicaux.

Portée

La portée du processus de divulgation ’coordonnée des vulnérabilités de Carestream comprend les familles de produits suivantes :

  • Systèmes d'imagerie diagnostique
  • Imprimantes numériques
  • Produits du kiosque MyVue

Nous demandons à tous les chercheurs en sécurité de soumettre des rapports de vulnérabilité uniquement pour tous les produits Carestream.

Ce processus de déclaration ne doit pas être utilisé pour signaler des réclamations relatives à la qualité des produits ou pour demander une assistance technique. Veuillez consulter le site suivant pour ces types d'engagements : https://www.carestream.com/en/us/services-and-support Veuillez également consulter ce site pour des questions de sécurité ou des commentaires sur d'autres produits Carestream.

Informations juridiques importantes

Carestream Health n'engage aucune action en justice contre les personnes qui soumettent des rapports de vulnérabilité via notre formulaire de signalement de vulnérabilité et respectent les accords décrits dans le cadre de ce processus de soumission de formulaire. Nous acceptons ouvertement les rapports pour tous les produits Carestream. Nous nous engageons à ne pas poursuivre en justice les personnes qui :

  • S'engagent dans des tests de systèmes/recherches sans nuire à Carestream ou à ses clients.
  • Effectuent des tests sur les produits sans affecter les clients, ou reçoivent l'autorisation/le consentement des clients avant de s'engager dans des tests de vulnérabilité sur leurs appareils/logiciels, etc.
  • Effectuent des tests de vulnérabilité dans le cadre de notre programme de divulgation des vulnérabilités conformément aux termes et conditions de tout accord conclu entre Carestream et des individus.
  • Respectent les lois du pays dans lequel elles se trouvent et les juridictions dans lesquelles Carestream opère. Par exemple, la violation des lois qui n'entraînerait qu'une réclamation non pénale par Carestream peut être acceptable, car Carestream autorise l'activité (ingénierie inverse ou contournement des mesures de protection) pour améliorer ses systèmes.
  • S'abstiennent de divulguer les détails de la vulnérabilité au public avant l'expiration d'un délai mutuellement convenu.

Procédure pour soumettre une vulnérabilité

  • Pour soumettre un rapport de vulnérabilité à l'équipe ’de sécurité des produits de Carestream, veuillez soumettre ce formulaire avec une brève description de votre découverte. Carestream enverra une réponse rapide à votre soumission (généralement dans les cinq jours ouvrables).
  • Les chercheurs indépendants en cybersécurité qui découvrent et nous soumettent un rapport de vulnérabilité peuvent choisir de recevoir un crédit une fois que la soumission a été acceptée et validée par notre équipe de sécurité des produits.

Critères de préférence, de priorisation et d'acceptation

Carestream utilise les critères suivants pour hiérarchiser et trier les soumissions.

Ce que nous aimerions voir de votre part :

  • Des rapports bien rédigés en anglais auront plus de chances d'être résolus.
  • Les rapports qui incluent le code de démonstration de faisabilité nous permettent de mieux trier les problèmes.
  • Les rapports qui incluent uniquement des vidages sur incident ou d'autres sorties d'outils automatisés peuvent être moins prioritaires.
  • Veuillez indiquer comment vous avez découvert la vulnérabilité, l'impact et toute solution potentielle.
  • Veuillez inclure tout projet ou intention de divulgation publique.

Ce que vous pouvez attendre de notre part :

  • Une réponse rapide à votre courriel (généralement dans les cinq jours ouvrables)
  • Après le tri, nous enverrons un calendrier prévisionnel accéléré et nous nous engageons à être aussi transparents que possible sur le calendrier de remédiation, ainsi que sur les problèmes ou les défis qui pourraient le prolonger.
  • Une boîte de dialogue ouverte pour discuter des problèmes.
  • Une notification lorsque l'analyse de vulnérabilité a terminé chaque étape de notre examen.
  • Crédit après que la vulnérabilité a été validée et corrigée.

Si nous ne sommes pas en mesure de résoudre les problèmes de communication ou d'autres problèmes, nous pouvons faire appel à un tiers neutre (tel que CERT/CC, ICS-CERT ou l'organisme de réglementation compétent) pour nous aider à déterminer la meilleure façon de gérer la vulnérabilité.

Cette page Web a été révisée et/ou mise à jour le 18/01/2019.