Declaración de divulgación coordinada de vulnerabilidad de GE HealthCare v2.0

GE HealthCare alienta la investigación de seguridad responsable

GE HealthCare reconoce el importante papel que desempeñan los investigadores de seguridad para ayudar a promover prácticas de diseño seguras y la mitigación de riesgos de seguridad tanto dentro de la industria de dispositivos médicos específicamente como en el ecosistema de la atención médica en su conjunto. Valoramos el trabajo realizado por los investigadores de seguridad, y animamos a que se comprometan proactivamente con nosotros en cuanto a las vulnerabilidades detectadas y las propuestas de divulgación de manera coordinada y responsable. Este documento establece tanto nuestras expectativas en cuanto a los investigadores que realizan investigaciones de seguridad sobre los productos de GE HealthCare en sus interacciones con nosotros y con otros, como lo que pueden esperar de nosotros.

Alcance

Esta Declaración de divulgación coordinada de vulnerabilidad se aplica a todos los productos de GE HealthCare disponibles en el mercado. El objetivo colectivo de los investigadores de seguridad y de GE HealthCare debería ser siempre reducir el riesgo, con la debida consideración de todo el entorno operativo afectado por cualquier vulnerabilidad detectada.

Requisitos previos para la presentación de informes

Los investigadores de seguridad deben cumplir los siguientes requisitos previos a lo largo de todo el proceso de investigación y divulgación, incluidas la investigación y las pruebas iniciales:

  • Cumplir con todas las leyes y regulaciones aplicables de su lugar de residencia y del lugar en el que se encuentra el producto de GE HealthCare.
  • No utilizar una vulnerabilidad para adoptar medidas desproporcionadas, como la explotación de una vulnerabilidad que no sea para probar su existencia, la eliminación de datos sensibles del producto o la creación de una puerta trasera dentro del producto o la introducción de una mayor vulnerabilidad en un producto para su uso posterior.
  • No investigar ni probar sistemas donde exista algún riesgo de daño para el paciente.
  • No probar los productos o la infraestructura de red en entornos clínicos u otros entornos activos en los que los productos se utilicen para cualquier tipo de diagnóstico, tratamiento, atención o supervisión de pacientes, o que puedan utilizarse inadvertidamente de esta manera.
  • Todo producto destinado a un uso posterior en un entorno clínico debe volver a su estado original cuando se concluyan las pruebas. Comuníquese con GE HealthCare para recibir asistencia de servicio.
  • Asegurarse de obtener un permiso escrito del propietario del Producto GE antes de realizar cualquier prueba para garantizar que el alcance sea claro.
  • No divulgar los detalles de vulnerabilidades al público antes de que haya vencido el plazo acordado con GE HealthCare.
  • No operar fuera del alcance descrito en el presente documento.
  • Proporcionarnos sin demora los detalles de la comunicación a las organizaciones reguladoras u otros terceros sobre cualquier vulnerabilidad detectada.

Cómo comunicar una vulnerabilidad

Para comunicar una vulnerabilidad al equipo de seguridad de productos de GE HealthCare, envíe un correo electrónico a (GEHealthcareCVD@GE.com). Utilice nuestra clave de privacidad bastante buena (PGP) u otras herramientas de cifrado adecuadas, para proteger cualquier información confidencial. No incluya datos sensibles (por ejemplo, datos de identificación del paciente) en el cuerpo de la comunicación o cualquier otro archivo adjunto (por ejemplo, capturas de pantalla, imágenes o archivos de registro).

Criterios de preferencia, prioridad y aceptación

Lo que pedimos y esperamos de usted:

  • Informes bien escritos en inglés, ya que tienen una mayor probabilidad de resolución.
  • La inclusión de detalles esenciales como la ubicación geográfica del producto, el modelo exacto y el número de serie, así como la revisión del software y el método de obtención del sistema, beneficiará el establecimiento de prioridades.
  • Los informes que incluyan el código de prueba de concepto, ya que nos permiten realizar una mejor clasificación.
  • Es posible que no se dé prioridad a los informes sobre productos o entornos no comprendidos en el alcance de esta declaración.
  • Toda la información sobre cómo descubrió la vulnerabilidad, qué impacto observa, sus pensamientos sobre la puntuación de CVSS y las soluciones sugeridas ayudarán a sostener una interacción eficiente con nosotros.
  • Incluya su intención de divulgación a nosotros o cualquier intención de divulgación pública.
  • No utilice este canal para informar quejas sobre productos de GE que se estén utilizando actualmente. Todas las quejas de los clientes sobre la seguridad o el rendimiento de un producto de GE HealthCare que se esté utilizando deben dirigirse directamente a un representante de servicio de GE HealthCare.

Lo que puede esperar de nosotros:

  • Acusaremos recibo de su mensaje dentro de cuatro (4) días hábiles.
  • En la siguiente fase de clasificación y evaluación inicial, un miembro idóneo del equipo de seguridad de productos de GE HealthCare puede comunicarse con usted para lo siguiente:
    • Solicitar información adicional
    • Comunicar un proceso y una línea de tiempo esperados
    • Notificar que la vulnerabilidad informada no es aceptada en el programa debido a que no cumple con los requisitos del programa o no proporciona suficientes detalles
  • Una vez que se haya reunido suficiente información y se haya aceptado el informe:
    • Evaluaremos más a fondo el informe e investigaremos con los equipos de seguridad e ingeniería de productos pertinentes.
    • Nos comunicaremos a lo largo de la investigación y el proceso de corrección, con expectativas claras en cuanto a los plazos.
    • Comunicaremos nuestra conclusión.
  • Le daremos reconocimiento público al investigador de seguridad (si se solicita) y si el informe requiere una divulgación pública.

Cuando sea necesario, GE HealthCare puede solicitar a un tercero neutral que ayude a resolver la investigación.

Al enviar una solicitud, usted reconoce que GE HealthCare puede utilizar sin restricciones (y permitir que otros hagan lo mismo) cualquier dato o información que usted proporcione a GE HealthCare. Su presentación no le otorga ningún derecho en virtud de la propiedad intelectual de GE HealthCare ni crea ninguna obligación para GE HealthCare.