Diagnostics Product Cyber Security

Vulnerabilidad y gestión de incidentes

Introducción

 

Roche Diagnostics cuenta con mecanismos para identificar y abordar vulnerabilidades en sus productos y responder a los requisitos de sus clientes y pacientes, así como de las autoridades. La presente página describe el enfoque de Roche Diagnostics a la hora de recibir notificaciones relacionadas con posibles vulnerabilidades de ciberseguridad en sus productos y la práctica habitual de la compañía de notificar a los clientes y otras partes interesadas requeridas de las vulnerabilidades verificadas.

 

Cómo realizar la notificación (a los clientes de Roche)

 

Si eres un cliente de Roche o representas al mismo, informa a tu  filial local de Roche Diagnostics responsable sobre los problemas del producto, incluidas las posibles vulnerabilidades de ciberseguridad, para garantizar la gestión y el procesamientos adecuados de las quejas de acuerdo con su contrato de servicio.

 

Cómo realizar la notificación (a los investigadores de seguridad y otros buscadores de vulnerabilidades)

 

Si deseas notificar una posible vulnerabilidad de ciberseguridad en un producto o servicio de Roche Diagnostics, ponte en contacto con nosotros en la dirección de correo electrónico security@roche.com.

 

Qué datos necesitamos

 

Para ayudarnos a abordar el problema de la ciberseguridad de manera eficiente, proporciona los siguientes datos en tu notificación inicial por correo electrónico:

■       Tus datos de contacto

■       Método preferido de comunicación segura (por ejemplo, PGP Key-ID y huella digital PGP, etc.)

■       Fecha, hora y ubicación de la detección de la vulnerabilidad

■       Una lista de productos de Roche potencialmente afectados

 

En cuanto hayamos establecido un canal de comunicación seguro (cifrado / firmado mediante PGP), proporciona los siguientes datos para permitir una respuesta rápida:

■       Datos técnicos de tu(s) hallazgo(s)

■       Pasos para reproducir el problema

■       Si están disponible: Prueba de concepto del código que aproveche la vulnerabilidad

■       Si procede: Explotación observada / impacto observado / Indicadores de que la vulnerabilidad se puede explotar de manera activa

 

No incluyas ninguna información de salud protegida, información del paciente u otros datos protegidos cuando aportes datos en su notificación inicial o en cualquier correspondencia de seguimiento. Incluye solo la información necesaria para que Roche Diagnostics revise y gestione cualquier posible problema de ciberseguridad (por ejemplo, una posible vulnerabilidad o incumplimiento).

Tenga en cuenta que, al enviar esta información, aceptas que Roche Diagnostics puede utilizar y distribuir la información según sea necesario, y aceptas que el envío no crea ningún derecho para ti ni obligación para Roche.

  • Toda la información personal enviada se tratará de conformidad con nuestro aviso de privacidad.

 

Cómo responde Roche Diagnostics a una vulnerabilidad confirmada

 

Una vez que se confirma una vulnerabilidad, utilizando los datos proporcionados, Roche:

  1. Acusa recibo de la supuesta vulnerabilidad al buscador tan pronto como se haya revisado y cedido la información a la persona de contacto.
  2. Evalua el hallazgo con los riesgos asociados de los productos afectados
  3. Cuando sea necesario, desarrolla una solución para el problema y notifica al buscador, a los clientes afectados y a las autoridades pertinentes.

Roche Diagnostics también puede, a nuestra entera discreción, distribuir o emitir advertencias a las Organizaciones de análisis e intercambio de información (Information Sharing and Analysis Organizations, ISAO) y otras comunidades de intercambio de información, o publicar dichas advertencias en este y otros sitios web definidos.

Cuando así se solicite, se reconocerá al buscador en tales advertencias.

Roche solicita al buscador que se abstenga de publicar las vulnerabilidades hasta que Roche haya aceptado explícitamente hacerlo.