Declaración de ciberseguridad de productos diagnósticos

Principios de la declaración

 

A. Roche Diagnostics reconoce que un programa de ciberseguridad eficaz debe abordar todo el ciclo de vida del producto, incluido el diseño, desarrollo, producción, distribución, implementación, mantenimiento y eliminación de un producto y cualquier dato asociado.

B. A tal fin, el enfoque de ciberseguridad de Roche se basa en cinco principios básicos:

1. La seguridad es una de nuestras prioridades. Roche Diagnostics se esfuerza por incorporar los principios de seguridad en sus productos. A medida que desarrollamos nuevos productos, seguimos evaluando la seguridad mediante el diseño en el desarrollo de nuestros productos. Al hacerlo, Roche adopta un enfoque basado en el riesgo que reconoce que el uso previsto, el entorno del usuario y otros factores importantes afectan el tipo y nivel de seguridad cibernética requerido.

2. Enfoque del ciclo de vida. Roche Diagnostics supervisa la información sobre vulnerabilidades, incidentes y otras amenazas de ciberseguridad para identificar y mitigar los riesgos de seguridad durante todo el ciclo de vida del producto. Al hacerlo, nos esforzamos por implementar actualizaciones de seguridad oportunas para nuestros productos de modo que se reduzca cualquier impacto en el uso previsto, la seguridad y la eficacia de nuestros productos, o la disponibilidad e integridad de los datos asociados.

3. Responsabilidad compartida. Roche reconoce que la ciberseguridad es una responsabilidad compartida entre todos los miembros del ecosistema de la atención sanitaria. Teniendo esto presente, trabajamos en estrecha colaboración con organizaciones de normas y del sector, clientes, instituciones, académicos, investigadores de seguridad, proveedores, reguladores y otras partes interesadas para mantenernos al tanto de las últimas normas, tendencias, riesgos y tecnologías.

4. Controles de socios. Roche exige a sus socios y proveedores las mismas normas que seguimos nosotros.

5. Comunicaciones abiertas y divulgación. Animamos a los investigadores de seguridad y otras personas que tomen conocimiento de posibles vulnerabilidades o incidentes asociados con cualquiera de nuestros productos a que se pongan en contacto con nosotros tal y como se describe en nuestra Declaración de gestión de Incidentes y Vulnerabilidades. Cuando proceda, notificamos a los clientes y a otras partes interesadas afectadas las vulnerabilidades e incidentes que pudieran afectar la seguridad de nuestros productos.