Carestream 产品安全政策

Carestream Health 致力于为我们的客户和患者提供安全的产品和服务。在整个产品生命周期中，我们努力维护和提高医疗设备和系统的安全性，包括采用以下管理规范（若适用）：

• 通过设计保证安全
• 安全风险管理
• 安全编码规范
• 安全扫描和测试规范
• 漏洞引入和处理规范
• 第三方软件漏洞监控
• 补丁程序管理
• 与 H-ISAC 等行业相关组织共享信息
• 事件和事故响应规范

Carestream Health 认识到需要共享与安全相关的信息，才能更好地了解威胁并保护我们的客户、患者和整个医疗保健基础设施。我们还致力于确保我们的客户收到与漏洞相关的信息，以及为确保我们产品和服务的机密性、完整性和可用性而需要采取的任何适当措施相关的信息。为了履行这些承诺，Carestream Health 致力于促进全球沟通、事件处理和信息共享计划。

协同漏洞披露

独立网络安全研究人员是许多制成品安全状况的宝贵信息来源。Carestream 的目标是与这些研究人员就他们在我们产品中发现的漏洞进行合作和协同。以下信息描述了协同漏洞披露流程，独立网络安全研究人员通过该流程可以与我们合作报告医疗设备漏洞。

范围

Carestream 协同漏洞披露流程的范围涵盖以下产品系列：

• 诊断影像系统
• 数码打印机
• MyView 中心自助服务终端产品

我们要求所有安全研究人员仅提交所有 Carestream 产品的漏洞报告。

此报告流程的作用并不是报告产品质量投诉或请求技术支持。请访问以下网站了解这些类型的活动：https://www.carestream.com/en/us/services-and-support。有关其他 Carestream 产品的安全问题或意见，亦请访问此网站。

重要法律信息

Carestream Health 不会对通过我们的漏洞报告表提交漏洞报告并遵守此表单提交流程中所述协议的个人采取法律行动。我们公开接受所有 Carestream 产品的报告。我们同意不对以下个人采取法律行动：

• 在不损害 Carestream 或其客户的情况下从事系统测试/研究。
• 在不影响客户的情况下对产品进行测试，或在针对其设备/软件等进行漏洞测试之前获得客户的许可/同意。
• 根据 Carestream 与个人之间签订的任何协议的条款和条件，在我们的漏洞披露计划范围内进行漏洞测试。
• 遵守其所在地和 Carestream 运营所在司法管辖区的法律。例如，只会导致 Carestream 提出非刑事索赔的违法行为可能是可以接受的，因为 Carestream 授权该活动（逆向工程或规避保护措施）来改进其系统。
• 克制在双方商定的时间期限到期之前向公众披露漏洞详细信息。

提交漏洞的程序

• 如需向 Carestream 产品安全团队提交漏洞报告，请提交此表单，并简要描述您的发现。Carestream 将及时回复您的提交信息（通常在五个工作日内）。
• 在我们的产品安全团队接受和验证所提交的信息后，发现并向我们提交漏洞报告的独立网络安全研究人员可以选择获得积分。

偏好、优先级和接受标准

Carestream 将采用以下标准对提交的信息进行优先级排序和分类。

我们希望从您那里看到什么：

• 以英文撰写且写得好的报告问题得到解决的几率会更高。
• 包含概念验证代码的报告有助于我们更好地对问题进行分类。
• 仅包含崩溃转储或其他自动工具输出结果的报告的优先级可能会较低。
• 请包括您是如何发现漏洞的、漏洞的影响以及任何可能的补救措施。
• 请包括供公开披露的任何计划或意图。

您可以从我们这里得到什么：

• 及时回复您的电邮（通常在五个工作日内）
• 分类后，我们将发送一个加急的预计时间表，并承诺尽可能透明地公示补救时间表，以及可能延长补救时间表的问题或挑战。
• 一次讨论问题的开放式对话。
• 漏洞分析完成我们审查的每个阶段时的通知。
• 验证并修复漏洞后的积分。

如果我们无法解决沟通问题或其他问题，我们可能会引入中立的第三方（例如 CERT/CC、ICS-CERT 或相关监管机构）来协助确定如何以最佳的方式处理漏洞。

本网页已于 2019 年 1 月 18 日审核和/或更新。