Roche Diagnostics possiede meccanismi per identificare e affrontare le vulnerabilità dei propri prodotti e rispondere ai requisiti dei propri clienti e pazienti, nonché alle autorità. Questa pagina descrive l’approccio di Roche Diagnostics quando riceve segnalazioni relative a potenziali rischi di vulnerabilità della sicurezza informatica dei suoi prodotti ed alle procedura di prassi standard dell'azienda per informare i clienti e altre parti interessate riguardo a vulnerabilità verificate.
Se Lei è/rappresenta un cliente di Roche, La preghiamo di informare la Sua affiliata locale Roche Diagnostics n merito a problemi relativi ai prodotti, comprese potenziali vulnerabilità della sicurezza informatica, al fine di garantire la corretta gestione ed elaborazione dei reclami in conformità al Suo contratto di assistenza. Si prega di contattare i referenti come da si evince dalla sezione Contatti.
Se desidera segnalare una potenziale vulnerabilità della sicurezza informatica in un prodotto e/o servizio di Roche Diagnostics, La preghiamo di contattarci all’indirizzo [email protected].
Per aiutarci a risolvere il problema di sicurezza informatica in modo efficiente, fornisca i seguenti dettagli nella Sua notifica iniziale via e-mail:
■ I Suoi recapiti
■ Metodo preferito di comunicazione sicura (ad es., ID-chiave PGP, impronta digitale PGP, ecc.)
■ Data, ora e luogo di rilevamento della vulnerabilità
■ Un elenco di prodotti Roche potenzialmente interessati
Non appena stabilito un canale di comunicazione sicuro (crittografato/firmato tramite PGP), fornire i seguenti dettagli per consentire una risposta rapida:
■ Dettagli tecnici sui risultati
■ Procedura per riprodurre il problema
■ Se disponibile: Codice "proof of concept exploit"
■ Se pertinente: Exploit osservato / impatto osservato / elementi indicanti che la vulnerabilità può essere attivamente soggetta a exploit
Si prega di non includere informazioni sanitarie protette, informazioni sul paziente o altri dati protetti quando si forniscono i dettagli nella notifica iniziale o in corrispondenza di follow-up. Includere solo le informazioni necessarie affinché Roche Diagnostics possa esaminare e gestire ogni potenziale problema di sicurezza informatica (ad es. una potenziale vulnerabilità o violazione).
Si prega di notare che inviando queste informazioni si accetta che Roche Diagnostics possa utilizzarle e distribuirle come richiesto e si accetta che l’inoltro di tali informazioni non crei alcun diritto per chi le ha inviate né alcun obbligo per Roche.
Una volta confermata una vulnerabilità, utilizzando i dettagli forniti, Roche procederà come segue:
Roche Diagnostics potrà anche, a sua discrezione, distribuire o emettere avvisi alle organizzazioni ISAO (Information Sharing and Analysis Organizations) e ad altri gruppi di condivisione delle informazioni, oppure pubblicherà tali avvisi su questo e altri siti web definiti.
Su richiesta, il soggetto che ha rilevato il problema sarà riconosciuto in tali avvisi.
Roche chiede al soggetto che ha rilevato il problema di astenersi dal pubblicare le vulnerabilità fino a quando Roche non avrà esplicitamente acconsentito al riguardo.