Ultimo aggiornamento: 3 giugno 2024

Nota informativa coordinata sulle vulnerabilità

Masimo riconosce il contributo fondamentale dei ricercatori sulla sicurezza nella tutela dei nostri dati e prodotti. Il nostro impegno verso la sicurezza di prodotti e servizi è fermo e risoluto in quanto comprendiamo le notevoli implicazioni delle vulnerabilità. Promuoviamo la divulgazione etica delle vulnerabilità e l'indagine in merito a qualsiasi segnalazione attendibile.

Ambito

La presente politica riguarda qualsiasi dispositivo medico e applicazione software realizzato, distribuito o venduto da Masimo.

Alcune attività e vulnerabilità non rientrano nell'ambito di questa politica; esse includono, a titolo esemplificativo:

• vulnerabilità riscontrate in servizi direttamente correlati a sistemi operativi;
• vulnerabilità riscontrate in componenti di terzi; e
• test di sicurezza che potrebbero danneggiare, interrompere o compromettere i servizi o l'esperienza utente (ad esempio, attacchi denial of service, di forza bruta o password spray).

Procedura di segnalazione delle vulnerabilità

In primo luogo, i ricercatori devono informarci riguardo a potenziali vulnerabilità inviando un messaggio e-mail all'indirizzo TechService-US@masimo.com.

Nella comunicazione iniziale chiediamo di riportare le informazioni disponibili in merito a quanto segue:

• descrizione di alto livello della vulnerabilità;
• specifiche del dispositivo interessato (ad esempio: versione, modello o numero di serie);
• qualsiasi informazione pertinente relativa a computer, connettività di rete e configurazioni firmware o strumenti in uso al momento dell'individuazione della vulnerabilità;
• descrizione di potenziale codice exploit, prova di concetto e acquisizione di pacchetti campione ove applicabile;
• quando e dove la vulnerabilità è stata riscontrata;
• minacce note o sospette relative alla vulnerabilità (incluso l'eventuale sfruttamento noto o sospetto);
• se la vulnerabilità è nota ad altre parti o se è stata segnalata a governo/agenzie di regolamentazione.
  • Il segnalante deve informarci in merito a se le informazioni sulla vulnerabilità sono state comunicate ai coordinatori per le vulnerabilità come CISA o altre parti, fornendo il relativo numero di tracciamento qualora sia stato reso disponibile.
• Metodo di comunicazione preferenziale e informazioni di contatto per lo scambio di comunicazioni con il segnalante, ove applicabile
  • A fini di chiarezza ed efficienza, raccomandiamo che le comunicazioni siano in lingua inglese.

Una volta ricevuta la comunicazione, il nostro team fornirà specifiche istruzioni su come inoltrare in modo sicuro la segnalazione dettagliata sulla vulnerabilità. Se necessario, chiederemo al segnalante di fornire ulteriori informazioni.

Il segnalante deve abilitare la crittografia per tutte le comunicazioni e-mail al fine di garantire la sicurezza delle informazioni scambiate.

Occorre evitare di includere informazioni riservate sensibili, come informazioni su pazienti, in qualsiasi screenshot o altre comunicazioni forniteci.

Requisiti di segnalazione

Al fine di promuovere un processo di risoluzione costruttivo ed efficace, chiediamo l'invio di una nota dettagliata sulla vulnerabilità che comprenda quanto segua:

• Limitare le azioni alla verifica dell'esistenza di una vulnerabilità senza sfruttarla per nessun motivo se non per provarne la presenza, evitando anche l'estrazione di dati o l'introduzione di nuove vulnerabilità.
• Astenersi dall'effettuare comunicazioni pubbliche sulle vulnerabilità prima di un periodo di divulgazione coordinata concordato con noi.
• Non svolgere ricerche su sistemi ove sussista il rischio di arrecare danno ai pazienti, evitando in particolare di effettuare test su prodotti o infrastrutture in ambienti clinici o in altri contesti sensibili in cui siano utilizzati per la cura, la diagnosi o il monitoraggio dei pazienti o qualora si potrebbe compromettere tali attività.
  • Evitare ricerche su altri sistemi attualmente in uso.
• Informarci prontamente su qualsiasi comunicazione con governi/organismi di regolamentazione o altre terze parti in merito alle vulnerabilità riscontrate.

Invitiamo i ricercatori a condurre le proprie indagini in modo etico, senza violare alcuna legge sulla privacy né danneggiare i prodotti Masimo o compromettere i dati degli utenti o l'esperienza utente.

Il nostro impegno per i ricercatori

Quando i ricercatori presentano una segnalazione su una vulnerabilità, possono aspettarsi le seguenti risposte dal nostro team:

• Entro 5 giorni di calendario dalla presentazione, il segnalante riceverà una conferma del fatto che abbiamo ricevuto la segnalazione. Questa conferma iniziale attesta il nostro impegno per cui quanto riscontrato dal segnalante viene preso seriamente in considerazione ed è sottoposto a valutazione da parte del nostro team addetto alla sicurezza.
• Nel corso del processo di verifica e risoluzione della vulnerabilità, ci impegniamo a fornire al segnalante aggiornamenti costanti sul nostro esame della segnalazione. Il nostro obiettivo è mantenere una linea di comunicazione trasparente e aperta, accertandoci che il segnalante sia pienamente informato su come procede la gestione della segnalazione.
• Per le vulnerabilità verificate, informeremo i corrispondenti team di prodotto.
• Stabiliremo se per la vulnerabilità è opportuno introdurre un patch/aggiornamento o altre mitigazioni suggerite, nonché sviluppare e distribuire adeguate correzioni.
• Quindi pubblicizzeremo e rilasceremo patch o aggiornamenti oppure intraprenderemo altre azioni suggerite. Queste possono comprendere notifiche dirette ai clienti o la divulgazione pubblica di una notifica di avviso sul nostro sito Web.
• Comprendiamo l'importanza di proteggere l'identità del segnalante e le informazioni sensibili contenute nella sua segnalazione. Non divulgheremo pertanto alcuna informazioni che potrebbe potenzialmente rivelarne l'identità senza prima ottenere il suo consenso esplicito.

Aspettative dopo la segnalazione

Inoltrando informazioni tramite questa procedura, il segnalante accetta quanto segue:

• Masimo è autorizzata a usare le informazioni relative alla vulnerabilità (che non siano dati personali del segnalante/ricercatore) in qualsiasi modo, in tutto o in parte, senza alcuna limitazione.
• L'invio di tali informazioni non genera alcun diritto per il segnalante né alcun obbligo per Masimo, inclusi eventuali obblighi di pagamento.
• Il segnalante non vanta alcun diritto di proprietà o riservatezza sulle informazioni inviate.