User Profile
Select your user profile
Diagnostics Product Cyber Security

Gestione delle vulnerabilità e degli incidenti

Introduzione

 

Roche Diagnostics possiede meccanismi per identificare e affrontare le vulnerabilità dei propri prodotti e rispondere ai requisiti dei propri clienti e pazienti, nonché alle autorità. Questa pagina descrive l’approccio di Roche Diagnostics quando riceve segnalazioni relative a potenziali rischi di vulnerabilità della sicurezza informatica dei suoi prodotti ed alle procedura di prassi standard dell'azienda per informare i clienti e altre parti interessate riguardo a vulnerabilità verificate.

 

Come effettuare una segnalazione (clienti Roche)

 

Se Lei è/rappresenta un cliente di Roche, La preghiamo di informare la Sua affiliata locale Roche Diagnostics n merito a problemi relativi ai prodotti, comprese potenziali vulnerabilità della sicurezza informatica, al fine di garantire la corretta gestione ed elaborazione dei reclami in conformità al Suo contratto di assistenza. Si prega di contattare i referenti come da si evince dalla sezione Contatti.

 

Come effettuare una segnalazione (ricercatori addetti alla sicurezza e altri soggetti che rilevano vulnerabilità)

 

Se desidera segnalare una potenziale vulnerabilità della sicurezza informatica in un prodotto e/o servizio di Roche Diagnostics, La preghiamo di contattarci all’indirizzo [email protected].

 

Quali dettagli ci servono

 

Per aiutarci a risolvere il problema di sicurezza informatica in modo efficiente, fornisca i seguenti dettagli nella Sua notifica iniziale via e-mail:

■       I Suoi recapiti

■       Metodo preferito di comunicazione sicura (ad es., ID-chiave PGP, impronta digitale PGP, ecc.)

■       Data, ora e luogo di rilevamento della vulnerabilità

■       Un elenco di prodotti Roche potenzialmente interessati

 

Non appena stabilito un canale di comunicazione sicuro (crittografato/firmato tramite PGP), fornire i seguenti dettagli per consentire una risposta rapida:

■       Dettagli tecnici sui risultati

■       Procedura per riprodurre il problema

■       Se disponibile: Codice "proof of concept exploit"

■       Se pertinente: Exploit osservato / impatto osservato / elementi indicanti che la vulnerabilità può essere attivamente soggetta a exploit

 

Si prega di non includere informazioni sanitarie protette, informazioni sul paziente o altri dati protetti quando si forniscono i dettagli nella notifica iniziale o in corrispondenza di follow-up. Includere solo le informazioni necessarie affinché Roche Diagnostics possa esaminare e gestire ogni potenziale problema di sicurezza informatica (ad es. una potenziale vulnerabilità o violazione).

Si prega di notare che inviando queste informazioni si accetta che Roche Diagnostics possa utilizzarle e distribuirle come richiesto e si accetta che l’inoltro di tali informazioni non crei alcun diritto per chi le ha inviate né alcun obbligo per Roche.

 

Come Roche Diagnostics risponde a una vulnerabilità confermata

 

Una volta confermata una vulnerabilità, utilizzando i dettagli forniti, Roche procederà come segue:

  1. Confermerà di aver ricevuto la presunta vulnerabilità al soggetto che l’ha rilevata non appena le informazioni saranno state esaminate, e assegnerà un referente.
  2. Valuterà il risultato a fronte dei rischi associati per i prodotti interessati
  3. Quando necessario, svilupperà una soluzione per il problema e informerà il soggetto che ha rilevato la vulnerabilità, i clienti interessati e le autorità competenti

Roche Diagnostics potrà anche, a sua discrezione, distribuire o emettere avvisi alle organizzazioni ISAO (Information Sharing and Analysis Organizations) e ad altri gruppi di condivisione delle informazioni, oppure pubblicherà tali avvisi su questo e altri siti web definiti.

Su richiesta, il soggetto che ha rilevato il problema sarà riconosciuto in tali avvisi.

Roche chiede al soggetto che ha rilevato il problema di astenersi dal pubblicare le vulnerabilità fino a quando Roche non avrà esplicitamente acconsentito al riguardo.