Declaración de divulgación coordinada de vulnerabilidad de GE HealthCare v2.1

Actualización: agosto de 2023

GE HealthCare promueve la investigación de seguridad responsable

GE HealthCare reconoce el rol crucial que desempeñan los investigadores de seguridad para ayudar a promover prácticas de diseño seguras y la mitigación de riesgos de seguridad, tanto dentro de la industria de dispositivos médicos en específico como en el ámbito de la atención médica en su totalidad. Valoramos el trabajo realizado por los investigadores de seguridad, y animamos a que se comprometan proactivamente con nosotros en cuanto a las vulnerabilidades detectadas y las propuestas de divulgación de manera coordinada y responsable. Este documento establece, por un lado, nuestras expectativas respecto a los investigadores a cargo de la seguridad de los productos de GE HealthCare en sus interacciones con nosotros y con otros; por otro lado, estipula aquello que pueden esperar de nosotros.

Propósito

El objetivo del Programa de divulgación coordinada de vulnerabilidades de GE HealthCare es coordinar la investigación y divulgación de nuevas vulnerabilidades potenciales en los productos de GE HealthCare. El objetivo en común de los investigadores de seguridad y de GE HealthCare debería ser siempre reducir el riesgo, con la debida observancia de todo el entorno operativo afectado por cualquier vulnerabilidad detectada.

Alcance

Esta Declaración de divulgación coordinada de vulnerabilidad aplica a todos los productos de GE HealthCare disponibles en el mercado.

Este proceso se debe utilizar para informar sobre nuevas vulnerabilidades potenciales en los productos GE HealthCare. Las vulnerabilidades en los sistemas operativos y otros componentes de terceros no deben informarse por medio de este proceso.

Requisitos previos para la presentación de informes

Los investigadores de seguridad deben cumplir los siguientes requisitos previos a lo largo de todo el proceso de investigación y divulgación, incluidas la investigación y las pruebas iniciales:

  • Cumplir con todas las leyes y regulaciones aplicables de su lugar de residencia y del lugar en el que se encuentra el producto de GE HealthCare.
  • No utilizar una vulnerabilidad para adoptar medidas desproporcionadas, como la explotación de una vulnerabilidad que no sea para probar su existencia, la eliminación de datos sensibles del producto o la creación de una puerta trasera dentro del producto o la introducción de una mayor vulnerabilidad en un producto para su uso posterior.
  • No investigar ni probar sistemas donde exista algún riesgo de daño para el paciente.
  • No probar los productos o la infraestructura de red en entornos clínicos u otros entornos activos en los que los productos se utilicen para cualquier tipo de diagnóstico, tratamiento, atención o supervisión de pacientes, o que puedan utilizarse inadvertidamente de esta manera.
  • Todo producto destinado a un uso posterior en un entorno clínico debe volver a su estado original cuando se concluyan las pruebas. Comuníquese con GE HealthCare para recibir asistencia sobre el servicio.
  • Asegúrese de obtener un permiso escrito del propietario del producto de GE HealthCare antes de realizar cualquier prueba para garantizar que el alcance sea preciso. Si el producto de GE HealthCare es alquilado, se debe obtener el permiso tanto de GE HealthCare como del arrendatario.
  • No divulgar información sobre vulnerabilidades al público antes de que haya vencido el plazo acordado con GE HealthCare.
  • No operar fuera del alcance descrito en el presente documento.
  • Proporcionarnos sin demora los detalles de la comunicación a las organizaciones reguladoras u otros terceros sobre cualquier vulnerabilidad detectada.

Cómo comunicar una vulnerabilidad

Para informar sobre una vulnerabilidad al equipo de seguridad de productos de GE HealthCare, envíe un correo electrónico a (GEHealthcareCVD@GE.com). Utilice nuestra clave de privacidad bastante buena (PGP) u otras herramientas de cifrado adecuadas, para proteger cualquier información confidencial. No incluya datos sensibles (por ejemplo, datos de identificación del paciente) en el cuerpo de la comunicación o cualquier otro archivo adjunto (por ejemplo, capturas de pantalla, imágenes o archivos de registro).

Dicho correo electrónico no debe utilizarse para consultas relacionadas con vulnerabilidades ya reveladas en componentes de terceros (no incluidas dentro del software de productos de GE HealthCare). La información relacionada con vulnerabilidades ya reveladas está disponible en el Portal de seguridad de productos de GE HealthCare o puede solicitarla por medio de un representante de servicios de GE HealthCare.

Criterios de preferencia, prioridad y aceptación

Lo que pedimos y esperamos de usted:

  • Informes bien escritos en inglés, ya que tienen una mayor probabilidad de resolución.
  • La inclusión de detalles esenciales como la ubicación geográfica del producto, el modelo exacto y el número de serie, así como la revisión del software y el método de obtención del sistema, beneficiará el establecimiento de prioridades.
  • Los informes que incluyan el código de prueba de concepto, ya que nos permiten realizar una mejor clasificación.
  • Es posible que no se dé prioridad a los informes sobre productos o entornos no comprendidos en el alcance de esta declaración.
  • Toda la información sobre cómo descubrió la vulnerabilidad, qué impacto observa, sus pensamientos sobre la puntuación de CVSS y las soluciones sugeridas ayudarán a sostener una interacción eficiente con nosotros.
  • Incluya su intención de divulgación a nosotros o cualquier intención de divulgación pública.
  • No utilice este canal para reportar quejas sobre productos de GE que se encuentren en uso. Todas las quejas de los clientes sobre la seguridad o el rendimiento de un producto de GE HealthCare que se esté utilizando deben dirigirse directamente a un representante de servicio de GE HealthCare.

Lo que puede esperar de nosotros:

  • Acusaremos recibo de su mensaje dentro de cuatro (4) días hábiles.
  • En la siguiente fase de clasificación y evaluación iniciales, un miembro idóneo del equipo de seguridad de productos de GE HealthCare puede ponerse en contacto con usted para:
    • Solicitar información adicional
    • Comunicar un proceso y una línea de tiempo esperados
    • Notificar que la vulnerabilidad informada no es aceptada en el programa debido a que no cumple con los requisitos del programa o no proporciona suficientes detalles
  • Una vez que se haya reunido suficiente información y se haya aceptado el informe:
    • Evaluaremos más a fondo el informe e investigaremos con los equipos de seguridad e ingeniería de productos pertinentes.
    • Nos comunicaremos a lo largo de la investigación y el proceso de corrección, con expectativas claras en cuanto a los plazos.
    • Comunicaremos nuestra conclusión.
  • GE HealthCare es una Autoridad de Numeración CVE (CNA) de los Estados Unidos y puede crear sus propias entradas CVE y NVD para su divulgación en caso de ser necesario.
  • Le daremos reconocimiento público al investigador de seguridad (si se solicita) y si el informe requiere una divulgación pública.

Cuando sea necesario, GE HealthCare puede solicitar a un tercero imparcial que ayude a resolver la investigación.

Al enviar una solicitud, usted autoriza a GE HealthCare a utilizar de forma irrestricta (y permite que otros también lo hagan) cualquier dato o información que usted proporcione a GE HealthCare. Su solicitud no le otorga ningún derecho en virtud de la propiedad intelectual de GE HealthCare ni genera ninguna obligación a GE HealthCare.