协调的漏洞披露
Elekta协调漏洞披露声明
Elekta致力于确保我们开发的产品的安全性和安全性,并提供癌症护理。bob体育网赌Elekta欢迎安全研究人员和我们的客户提供的宝贵贡献(“提交者”)。该协调的漏洞披露声明旨在确保负责任且简化的流程,用于报告和处理产品安全漏洞。
范围
该声明适用于所有支持的Elekta产品和解决方案。Elekta与提交者合作的目标应始终是在受任何发现的漏洞影响的医疗保健解决方案中降低患者安全的风险。
法律信息
Elekta不会为那些真诚地行事并遵守本声明中描述的协调指示和准则,包括遵守所有适用法律的人。
与Elekta沟通
为了确保在这两个方向上正确处理披露,提交者应遵守以下说明:
- 最好用英语提交报告,向productsecurity@elekta.com提交报告。
- 使用我们的PGP公钥在此页面上可用来加密任何电子邮件提交。
- 向我们提供有关安全问题或漏洞的详细技术信息,包括
- 经过测试的特定产品,包括产品名称和版本编号
- 测试的技术基础架构,包括操作系统和版本;以及任何相关的其他信息,例如网络详细信息
- 对于基于Web的产品,测试的日期和时间,URL,浏览器类型和版本以及提供给应用程序的输入
- 发现的脆弱性,如何发现,影响和任何潜在修复的细节
- 任何证据表明该脆弱性正在被利用
- 任何可以帮助Elekta验证问题的其他信息,包括用于测试的工具
- 请勿在您提供给Elekta的任何屏幕截图或其他文档或内容中包含敏感信息(与漏洞细节有关的信息)。
- 如果提交者涉及ICS-CERT,CERT/CC,相关监管机构或其他适当的各方,请共享该信息以及所提供的任何跟踪号。
- 提供包括概念验证代码的报告,以使Elekta更好地分类。
Elekta责任
一旦收到报告,Elekta将:
- 在三(3)个工作日内确认收据。
- 为提交者提供报告的唯一跟踪号。
- 对潜在发现进行初步评估,以确定准确性,需要升级和产品组升级。
- 请求如果需要建立漏洞的其他信息
- 让您了解报告的状态
- 如果漏洞位于我们产品的一部分的第三方组件中,我们将向第三方推荐该报告,并向您告知该通知。在您的同意下,与第三方分享您的联系信息。
- 验证脆弱性后,请执行解决方案
- 对分辨率执行质量检查/验证测试
- 使用现有流程管理补丁程序或安全修复程序的发布,其中可能包括直接客户通知或发布安全咨询
- 如果要求,请向研究人员提供公众认可,以及报告是否导致公开发布的修复或通信。
- 在必要的情况下,或者如果我们无法解决沟通问题或其他问题,Elekta可能会引入中立的第三方(例如CERT/CC,DHS-ICS-CERT或相关监管机构),以协助确定处理最佳方法脆弱性。
提交者的期望是什么?
通过此声明,Elekta希望提交者遵守以下准则。
- 切勿在用于患者护理,患者诊断或监测的活动环境上进行任何测试(或黑客攻击)(使用测试或开发环境来执行脆弱性测试)
- 遵守所有适用的法律法规
- 不使用社会工程来访问系统
- 请勿访问,修改或删除您没有法律控制的任何帐户或系统中的任何数据
- 不要利用您发现的脆弱性或任何问题;不要采取任何不成比例或非法的行动,包括将后门构建到系统中
- 我们要求您与Elekta合作选择公共发布日期,以获取有关发现漏洞的信息,以最大程度地减少患者安全,隐私和安全风险的可能性
- 在相互商定的时间表到期之前,不要向公众披露脆弱性细节。在公开披露之前,请告知我们您的披露计划(如果有的话)。
与Elekta共享的任何信息均可以Elekta确定的任何方式使用。提交任何信息将不会为提交者创造任何权利,也不会为Elekta造成任何义务。