Politica di sicurezza dei prodotti Carestream

Carestream Health si impegna a fornire prodotti e servizi sicuri ai nostri clienti e ai pazienti. Ci sforziamo di mantenere e migliorare la sicurezza dei nostri dispositivi e sistemi medici durante tutto il ciclo di vita del prodotto, con l’utilizzo delle seguenti procedure, se del caso:

• Security by design
• Gestione dei rischi per la sicurezza
• Procedure di codifica sicure
• Scansione di sicurezza e procedure di verifica
• Rilevazione di vulnerabilità e procedure di gestione
• Monitoraggio della vulnerabilità del software di terze parti
• Gestione delle patch
• Condivisione delle informazioni con organizzazioni appropriate al settore come H-ISAC
• Procedure di risposta a eventi e incidenti

Carestream Health riconosce la necessità di condividere le informazioni rilevanti per la sicurezza al fine di comprendere meglio le minacce e proteggere i nostri clienti, i pazienti e l’intera infrastruttura sanitaria. Ci impegniamo inoltre a garantire che i nostri clienti ricevano le informazioni relative alle vulnerabilità e a ogni azione appropriata da intraprendere per garantire la riservatezza, l’integrità e la disponibilità dei nostri prodotti e servizi. Per adempiere a questi impegni, Carestream Health si impegna a promuovere programmi globali per la comunicazione, la gestione degli eventi e la condivisione delle informazioni.

Divulgazione coordinata delle vulnerabilità

I ricercatori indipendenti che si occupano di sicurezza informatica sono una preziosa fonte di informazioni sullo stato di sicurezza di molti prodotti fabbricati. L’obiettivo di Carestream è quello di cooperare e coordinarsi con questi ricercatori in merito alle vulnerabilità che scoprono all’interno dei nostri prodotti. Le informazioni seguenti descrivono il processo di divulgazione coordinata delle vulnerabilità mediante il quale ricercatori indipendenti che si occupano di sicurezza informatica possono collaborare con noi per segnalare le vulnerabilità dei dispositivi medici.

Ambito

L’ambito del processo di divulgazione coordinata delle vulnerabilità di Carestream include le seguenti famiglie di prodotti:

• Sistemi di imaging diagnostico
• Stampanti digitali
• Prodotti correlati al chiosco del centro MyView

Chiediamo a tutti i ricercatori che si occupano di sicurezza di inviare solo i rapporti sulle vulnerabilità per tutti i prodotti Carestream.

Questo processo di segnalazione non deve essere usato per segnalare reclami sulla qualità dei prodotti o per richiedere supporto tecnico. Per questi tipi di attività, si prega di visitare il seguente sito: https://www.carestream.com/en/us/services-and-support. Visitare questo sito anche per domande sulla sicurezza o per commenti su altri prodotti Carestream.

Informazioni legali importanti

Carestream Health non intraprenderà azioni legali contro le persone che inviano segnalazioni di vulnerabilità tramite il nostro Modulo di segnalazione delle vulnerabilità e rispettano gli accordi delineati nell’ambito di questo processo di invio del modulo. Accettiamo apertamente segnalazioni per tutti i prodotti Carestream. Acconsentiamo a non intraprendere azioni legali contro persone che:

• Conducono test dei sistemi/ricerche senza danneggiare Carestream o i suoi clienti.
• Eseguono test sui prodotti senza ripercussioni sui clienti o ricevono l’autorizzazione/il consenso dai clienti prima di intraprendere test di vulnerabilità contro i loro dispositivi/software, ecc.
• Conducono test di vulnerabilità nell’ambito del nostro programma di divulgazione delle vulnerabilità in conformità con i termini e le condizioni di eventuali accordi stipulati tra Carestream e queste stesse persone.
• Rispettano le leggi del luogo in cui operano e delle giurisdizioni in cui opera Carestream. Ad esempio, la violazione di leggi che determinerebbe solo una denuncia non penale da parte di Carestream può essere accettabile, poiché Carestream sta autorizzando l’attività (ingegneria inversa o elusione delle misure di protezione) per migliorare i propri sistemi.
• Si astengono dal rivelare al pubblico i dettagli sulle vulnerabilità prima che scada un periodo di tempo concordato.

Procedura per segnalare una vulnerabilità

• Per presentare una segnalazione di vulnerabilità al Product Security Team di Carestream, inviare questo modulo con una breve descrizione della rilevazione. Carestream invierà una risposta tempestiva alla segnalazione inviata (in genere entro cinque giorni lavorativi).
• I ricercatori indipendenti che si occupano di sicurezza informatica e che scoprono e ci inviano una segnalazione di vulnerabilità possono scegliere di ricevere un riconoscimento dopo che l’invio è stato accettato e convalidato dal nostro team di sicurezza dei prodotti.

Criteri di preferenza, priorità e accettazione

Carestream utilizzerà i seguenti criteri per assegnare priorità e classificare le segnalazioni inviate.

Cosa vorremmo ricevere da voi:

• Segnalazioni ben scritte in inglese avranno maggiori possibilità di risoluzione.
• Le segnalazioni che includono codice proof-of-concept ci consentono di valutare meglio i problemi.
• Le segnalazioni che includono solo dump di arresto anomalo o altro output di strumenti automatizzati potrebbero ricevere una priorità inferiore.
• Si prega di includere come è stata rilevata la vulnerabilità, l’impatto della stessa e i possibili rimedi.
• Includere inoltre eventuali piani o intenzioni di divulgazione pubblica.

Cosa ci si può aspettare da noi:

• Una risposta tempestiva all’e-mail (in genere entro cinque giorni lavorativi).
• Dopo il triage, invieremo una tempestiva cronologia prevista e ci impegneremo a essere il più trasparenti possibile sulla cronologia di riparazione, nonché su problemi o difficoltà che potrebbero estenderla.
• Un dialogo aperto per discutere i problemi.
• Notifica quando l’analisi della vulnerabilità ha completato ogni fase della nostra revisione.
• Riconoscimento dopo la convalida e la risoluzione della vulnerabilità.

Se non siamo in grado di risolvere problemi di comunicazione o altri problemi, potremo coinvolgere una terza parte neutrale (come CERT/CC, ICS-CERT o l’autorità di regolamentazione preposta) per contribuire a determinare il modo migliore per gestire la vulnerabilità.

Questa pagina web è stata controllata e/o aggiornata il 2019-01-18.