Declaración sobre vulnerabilidad coordinada

Política de seguridad de productos de Carestream

Carestream Health tiene el compromiso de brindar productos y servicios seguros para nuestros clientes y pacientes. Nos esforzamos por mantener y mejorar la seguridad de nuestros dispositivos y sistemas médicos a lo largo de la vida útil del producto, lo que incluye el uso de las siguientes prácticas, según corresponda:

  • Seguridad por diseño
  • Gestión de riesgos de seguridad
  • Prácticas de codificación segura
  • Prácticas de pruebas y exploración de seguridad
  • Prácticas de manejo y aporte de vulnerabilidades
  • Supervisión de vulnerabilidades del software de terceros
  • Gestión de revisiones
  • Uso compartido de información con organizaciones apropiadas del sector, como H-ISAC
  • Prácticas de respuesta a eventos e incidentes

Carestream Health reconoce la necesidad de compartir información relevante para la seguridad, para así entender mejor las amenazas y proteger a nuestros clientes, pacientes y a la infraestructura general de atención médica. También nos dedicamos a asegurarnos de que nuestros clientes reciban la información relacionada con las vulnerabilidades y cualquier acción apropiada que deba tomarse para asegurar la confidencialidad, integridad y disponibilidad de nuestros productos y servicios. Para cumplir estos compromisos, Carestream Health participa en esfuerzos para fomentar programas globales para la comunicación, el manejo de eventos y el uso compartido de la información.

Declaración sobre vulnerabilidad coordinada

Los investigadores independientes de seguridad cibernética son una fuente de información valiosa sobre la calidad de la seguridad de muchos productos fabricados. La meta de Carestream es cooperar y coordinarse con estos investigadores en lo que respecta a las vulnerabilidades que descubren en nuestros productos. La siguiente información describe el proceso de Declaración sobre vulnerabilidad coordinada mediante el cual los investigadores independientes de seguridad cibernética pueden colaborar con nosotros en la notificación de vulnerabilidades de dispositivos médicos.

Ámbito

El alcance del proceso de Declaración sobre vulnerabilidad coordinada de Carestream incluye a las siguientes familias de productos:

  • Sistemas de imágenes médicas de diagnóstico
  • Impresoras digitales
  • Productos del quiosco de MyView Center

Pedimos que todos los investigadores de seguridad envíen informes de vulnerabilidad únicamente para todos los productos de Carestream.

Este proceso de notificación no se debe usar para notificar quejas sobre la calidad de los productos ni para solicitar soporte técnico. Visite el siguiente sitio para esos tipos de asuntos: https://www.carestream.com/en/us/services-and-support. Visite también este sitio para hacer preguntas o comentarios sobre la seguridad de otros productos de Carestream.

Información legal importante

Carestream Health no emprenderá acciones legales contra las personas que envíen informes de vulnerabilidad a través de nuestro formulario de notificación de vulnerabilidades y se sujeten a los acuerdos descritos como parte de este proceso de envío de formulario. Aceptamos abiertamente informes de todos los productos de Carestream. Estamos de acuerdo en que no emprenderemos acciones legales contra las personas que:

  • Participen en pruebas de sistemas o investigación sin perjudicar a Carestream ni a los clientes de este.
  • Realicen pruebas en los productos sin afectar a los clientes o recibir permiso o consentimiento de los clientes antes de participar en pruebas de vulnerabilidad de los dispositivos o software, etc.
  • Participen en pruebas de vulnerabilidad dentro del alcance de nuestro programa de divulgación de vulnerabilidades de acuerdo con los términos y condiciones de cualquier acuerdo celebrado entre Carestream y personas físicas.
  • Respeten las leyes de su ubicación y las jurisdicciones en las que Carestream realiza operaciones. Por ejemplo, puede ser aceptable infringir leyes que solo producirían un reclamo no penal por parte de Carestream, ya que Carestream está autorizando la actividad (ingeniería inversa o burlar las medidas de protección) para mejorar los sistemas.
  • Se abstengan de divulgar los detalles de vulnerabilidad al público antes de que expire un plazo acordado mutuamente.

Procedimiento para enviar una vulnerabilidad

  • Para enviar un informe de vulnerabilidad al equipo de seguridad de productos de Carestream, envíe este formulario con una breve descripción de su descubrimiento. Carestream enviará una respuesta oportuna a lo que usted envió (normalmente en un plazo de cinco días hábiles).
  • Los investigadores independientes de seguridad cibernética que descubran y nos envíen un informe de vulnerabilidad pueden optar por recibir crédito después de que nuestro equipo de seguridad de productos haya aceptado y validado el envío.

Criterios de preferencia, priorización y aceptación

Carestream aplicará los siguientes criterios para priorizar y clasificar los envíos.

Lo que nos gustaría recibir de usted:

  • Los informes bien escritos en inglés tendrán una mayor probabilidad de resolución.
  • Los informes que incluyan un código de prueba de concepto nos permitirán clasificar mejor los problemas.
  • Los informes que incluyan únicamente volcados de fallas o reportes de otra herramienta automatizada tal vez reciban una menor prioridad.
  • Incluya la manera en la que descubrió la vulnerabilidad, el impacto y cualquier posible remedio.
  • Incluya cualquier plan o intención de divulgación pública.

Lo que puede esperar de nosotros:

  • Una respuesta oportuna a su correo electrónico (normalmente dentro de cinco días hábiles)
  • Después de la clasificación, enviaremos un plazo proyectado acelerado y nos comprometeremos a tener la mayor transparencia posible respecto del plazo de reparación, así como de otros problemas y desafíos que pudieran prolongarlos.
  • Diálogo abierto a la discusión de problemas.
  • Notificación de cuando el análisis de vulnerabilidad haya completado cada etapa de nuestra revisión.
  • Crédito a usted después de haber validado y reparado la vulnerabilidad.

Si no podemos resolver problemas de comunicación u otros problemas, es posible que involucremos a un tercero neutral (como CERT/CC, ICS-CER o la entidad reguladora pertinente) para ayudar a determinar la mejor manera de manejar la vulnerabilidad.

Esta página web se revisó o actualizó el 2019-01-18.