Roche Diagnostics cuenta con mecanismos para identificar y abordar vulnerabilidades en sus productos y responder a los requisitos de sus clientes y pacientes, así como de las autoridades. La presente página describe el enfoque de Roche Diagnostics a la hora de recibir notificaciones relacionadas con posibles vulnerabilidades de ciberseguridad en sus productos y la práctica habitual de la compañía de notificar a los clientes y otras partes interesadas requeridas de las vulnerabilidades verificadas.
Si eres un cliente de Roche o representas al mismo, informa a tu filial local de Roche Diagnostics responsable sobre los problemas del producto, incluidas las posibles vulnerabilidades de ciberseguridad, para garantizar la gestión y el procesamientos adecuados de las quejas de acuerdo con su contrato de servicio.
Si deseas notificar una posible vulnerabilidad de ciberseguridad en un producto o servicio de Roche Diagnostics, ponte en contacto con nosotros en la dirección de correo electrónico [email protected].
Para ayudarnos a abordar el problema de la ciberseguridad de manera eficiente, proporciona los siguientes datos en tu notificación inicial por correo electrónico:
■ Tus datos de contacto
■ Método preferido de comunicación segura (por ejemplo, PGP Key-ID y huella digital PGP, etc.)
■ Fecha, hora y ubicación de la detección de la vulnerabilidad
■ Una lista de productos de Roche potencialmente afectados
En cuanto hayamos establecido un canal de comunicación seguro (cifrado / firmado mediante PGP), proporciona los siguientes datos para permitir una respuesta rápida:
■ Datos técnicos de tu(s) hallazgo(s)
■ Pasos para reproducir el problema
■ Si están disponible: Prueba de concepto del código que aproveche la vulnerabilidad
■ Si procede: Explotación observada / impacto observado / Indicadores de que la vulnerabilidad se puede explotar de manera activa
No incluyas ninguna información de salud protegida, información del paciente u otros datos protegidos cuando aportes datos en su notificación inicial o en cualquier correspondencia de seguimiento. Incluye solo la información necesaria para que Roche Diagnostics revise y gestione cualquier posible problema de ciberseguridad (por ejemplo, una posible vulnerabilidad o incumplimiento).
Tenga en cuenta que, al enviar esta información, aceptas que Roche Diagnostics puede utilizar y distribuir la información según sea necesario, y aceptas que el envío no crea ningún derecho para ti ni obligación para Roche.
Una vez que se confirma una vulnerabilidad, utilizando los datos proporcionados, Roche:
Roche Diagnostics también puede, a nuestra entera discreción, distribuir o emitir advertencias a las Organizaciones de análisis e intercambio de información (Information Sharing and Analysis Organizations, ISAO) y otras comunidades de intercambio de información, o publicar dichas advertencias en este y otros sitios web definidos.
Cuando así se solicite, se reconocerá al buscador en tales advertencias.
Roche solicita al buscador que se abstenga de publicar las vulnerabilidades hasta que Roche haya aceptado explícitamente hacerlo.
