Divulgação Coordenada de Vulnerabilidades

Política de Segurança de Produtos da Carestream

A Carestream Health está empenhada em fornecer produtos e serviços seguros para nossos clientes e pacientes. Empenhamos todos os nossos esforços para preservar e aprimorar a segurança de nossos dispositivos médicos e sistemas ao longo de toda a vida útil dos produtos, inclusive por meio das práticas a seguir, conforme aplicável:

  • Security by Design
  • Gestão de riscos à segurança
  • Práticas de codificação seguras
  • Práticas de digitalizações e testes de segurança
  • Práticas para identificação e enfrentamento de vulnerabilidades;
  • Monitoramento de vulnerabilidades de softwares de terceiros
  • Gerenciamento de patches
  • Compartilhamento de informações com organizações competentes do setor, como H-ISAC
  • Práticas de respostas a eventos e incidentes

A Carestream Health reconhece a necessidade de compartilhar informações relevantes sobre segurança para compreender melhor as ameaças e proteger nossos clientes, pacientes e a infraestrutura geral de saúde. Também estamos empenhados em assegurar que nossos clientes recebam informações relacionadas a vulnerabilidades e eventuais medidas apropriadas que precisem ser desempenhadas para garantir a confidencialidade, a integridade e a disponibilidade de nossos produtos e serviços. A fim de cumprir esses compromissos, a Carestream Health está engajada em iniciativas para promover programas globais relacionados à comunicação, ao enfrentamento de eventos e ao compartilhamento de informações.

Divulgação Coordenada de Vulnerabilidades

Pesquisadores independentes de segurança cibernética são uma fonte valiosa de informações sobre a postura de segurança de muitos produtos fabricados. A Carestream está disposta a cooperar e contribuir com esses pesquisadores em relação às vulnerabilidades que eles identificam em nossos produtos. As informações abaixo descrevem o processo de Divulgação Coordenada de Vulnerabilidades por meio do qual pesquisadores independentes de segurança cibernética podem colaborar conosco relatando vulnerabilidades nos dispositivos médicos.

Escopo

O escopo do processo de Divulgação Coordenada de Vulnerabilidades da Carestream abrange as seguintes famílias de produtos:

  • Sistemas de Aquisição de Imagens Diagnósticas
  • Impressoras Digitais
  • Produtos MyView Center Kiosk

Solicitamos que todos os pesquisadores de segurança enviem relatórios sobre vulnerabilidades constatadas somente nos produtos da Carestream.

Esse processo de geração de relatórios não deve ser utilizado para relatar reclamações sobre a qualidade dos produtos ou para solicitar suporte técnico. Para esse tipo de contato, acesse o seguinte site: https://www.carestream.com/en/us/services-and-support. Acesse esse site se tem perguntas sobre segurança ou também comentários sobre outros produtos da Carestream.

Informações jurídicas importantes

A Carestream Health não processará judicialmente pessoas que enviarem relatórios de vulnerabilidades por meio de nosso Formulário de Relatório de Vulnerabilidades e cumprirem os acordos descritos como parte do processo de envio deste formulário. Aceitamos espontaneamente relatórios referentes a todos os produtos da Carestream. Concordamos em não processar judicialmente pessoas que:

  • Conduzam testes dos sistemas/pesquisas sem prejudicar a Carestream ou seus clientes.
  • Conduzam testes sobre produtos sem afetar os clientes ou recebam permissão/consentimento dos clientes antes de realizar testes de vulnerabilidades em seus dispositivos/software etc.
  • Conduzam testes de vulnerabilidade conforme previsto no escopo de nosso programa de Divulgação de Vulnerabilidade, em cumprimento aos termos e às condições de eventuais acordos firmados entre a Carestream e tais pessoas.
  • Cumpram as leis do local onde se encontram e das jurisdições onde a Carestream opera. Por exemplo, infringir leis cuja consequência seria somente um processo extrajudicial por parte da Carestream poderá ser admitido, uma vez que a Carestream está autorizando a atividade (engenharia reversa ou burlar medidas de proteção) para aprimorar seus sistemas.
  • Abstenham-se de divulgar ao público detalhes sobre as vulnerabilidades antes que o período mutuamente acordado expire.

Procedimento para enviar uma vulnerabilidade

  • Para enviar um relatório de vulnerabilidade para a Equipe de Segurança de Produtos da Carestream, preencha este formulário descrevendo resumidamente sua constatação. A Carestream lhe enviará uma resposta oportuna (normalmente dentro de cinco dias úteis).
  • Pesquisadores independentes de segurança cibernética que constatarem e nos enviarem um relatório de vulnerabilidade poderão optar por receber crédito depois que a submissão tiver sido aceita e validada por nossa equipe de segurança de produtos.

Critérios de preferência, priorização e aceitação

A Carestream utilizará os critérios a seguir para priorizar e realizar a triagem das submissões.

Nossa expectativa em relação a você:

  • Relatórios bem redigidos em inglês terão mais chance de resolução.
  • Relatórios que incluem código da prova de conceito nos permitem realizar a triagem dos problemas da forma mais adequada.
  • Relatórios que incluem apenas “crash dumps” ou outros resultados de ferramentas automatizadas poderão ser considerados menos prioritários.
  • Informe como você identificou a vulnerabilidade, o impacto e a eventual resolução.
  • Informe eventuais planos ou intenção de divulgar a vulnerabilidade ao público.

Sua expectativa em relação a nós:

  • Uma resposta oportuna ao seu e-mail (normalmente dentro de cinco dias úteis).
  • Após a triagem, enviaremos um cronograma estimado e nos comprometemos com a máxima transparência possível em relação ao prazo para a resolução, bem como quanto a problemas ou desafios que poderão postergá-la.
  • Um canal de comunicação para discussão dos problemas.
  • Notificação sobre a conclusão de cada etapa de nossa análise da vulnerabilidade.
  • Crédito depois que a vulnerabilidade tiver sido validada e corrigida.

Se não formos capazes de solucionar problemas de comunicação ou de outra natureza, poderemos solicitar o auxílio de um terceiro isento (como CERT/CC, ICS-CERT ou o órgão competente) para determinar a melhor forma de abordar a vulnerabilidade.

Esta página foi revisada e/ou atualizada em 18 de janeiro de 2019.