Diagnostics Product Cyber Security

التعامل مع الثغرات الأمنية والحوادث

مقدمة

تتبنى Roche Diagnostics آليات لتحديد الثغرات الأمنية في منتجاتها ومعالجتها والاستجابة لمتطلبات عملائها ومرضاها وكذلك السلطات. تصف هذه الصفحة نهج Roche Diagnostics لتلقي التقارير المتعلقة بالثغرات الأمنية المحتملة للأمن السيبراني في منتجاتها والمعيار القياسي للشركة لإبلاغ العملاء والجهات المعنية الأخرى المطلوبة بالثغرات الأمنية التي تم التحقق منها.

تم اعتماد Roche Diagnostics من قبل برنامج CVE كسلطة ترقيم CVE (CNA).

كيفية الإبلاغ (لعملاء Roche)

إذا كنت أنت/تمثل أحد عملاء شركة Roche، فالرجاء إبلاغ الشركة التابعة المحلية المسؤولة لديك عن Roche Diagnostics بمشكلات المنتج، بما في ذلك أي ثغرات أمنية محتملة للأمن السيبراني، لضمان التعامل مع الشكاوى ومعالجتها بشكل مناسب بما يتوافق مع عقد الخدمة الخاص بك.

كيفية الإبلاغ (الباحثون الأمنيون وغيرهم من مكتشفي الثغرات الأمنية)

إذا كنت تود الإبلاغ عن ثغرة أمنية محتملة للأمن السيبراني في منتج و/أو خدمة Roche Diagnostics، يرجى الاتصال بنا على [email protected].

ما التفاصيل التي نحتاج إليها

لمساعدتنا على معالجة مشكلة الأمن السيبراني بكفاءة، يرجى تقديم التفاصيل التالية في إشعارك الأولي عبر البريد الإلكتروني:

  • بيانات الاتصال بك
  • الطريقة المفضلة لتأمين الاتصال (على سبيل المثال، معرف مفتاح PGP وبصمة PGP، وما إلى ذلك)
  • تاريخ اكتشاف الثغرات الأمنية ووقته وموقعه
  • قائمة بمنتجات Roche المحتمل تضررها

بمجرد أن ننشئ قناة اتصال مؤمنة (مشفرة / موقعة عبر PGP)، يرجى تقديم التفاصيل التالية لتمكين الاستجابة السريعة:

  • التفاصيل الفنية حول النتائج التي توصلت إليها
  • خطوات لإعادة إنتاج المشكلة
  • إذا كان متوفرًا: كود استغلال إثبات المفهوم
  • إذا كان متوفرًا: الاستغلال الملاحظ / التأثير الملاحظ / مؤشرات على أن الثغرات الأمنية قد يتم استغلالها بنشاط

يرجى عدم تضمين أي معلومات صحية محمية أو معلومات مريض أو بيانات محمية أخرى عند تقديم تفاصيل في إخطارك الأولي أو في أي مراسلات متابعة. الرجاء تضمين المعلومات المطلوبة لشركة Roche Diagnostics لمراجعة أي مشكلة محتملة تتعلق بالأمن السيبراني والتعامل معها (على سبيل المثال، ثغرة أمنية أو انتهاك محتملاً).

يرجى ملاحظة أنه من خلال تقديم هذه المعلومات، فإنك توافق على أنه يجوز لشركة Roche Diagnostics استخدام المعلومات وتوزيعها كما هو مطلوب، وتوافق على أن التقديم لا يخلق أي حقوق لك أو يخلق أي التزامات لشركة Roche.

  • سيتم التعامل مع جميع المعلومات الشخصية المرسلة وفقًا لإشعار الخصوصية الخاص بنا.

كيف تستجيب Roche Diagnostics لثغرة أمنية مؤكدة

بمجرد تأكيد ثغرة أمنية، باستخدام التفاصيل المقدمة، ستقوم شركة Roche بما يلي:

  1. الإقرار باستلام معلومات الثغرة الأمنية المزعومة للمكتشف بمجرد مراجعة المعلومات وتكليف جهة اتصال.
  2. تقييم النتائج مع المخاطر المرتبطة بالمنتج (المنتجات) المتأثرة
  3. تعيين معرف CVE ونشر سجل CVE

يجوز لشركة Roche Diagnostics أيضًا، وفق تقديرنا، توزيع أو إصدار إرشادات لمنظمات مشاركة المعلومات وتحليلها (ISAOs) ومجتمعات مشاركة المعلومات الأخرى، أو نشر مثل هذه الإرشادات على هذا الموقع ومواقع الويب المحددة الأخرى.

بناء على الطلب، سيتم الإقرار بالباحث في المسألة في هذه الاستشارات.

تطلب Roche من الباحث أن يمتنع عن نشر الثغرات الأمنية حتى توافق Roche صراحة على فعل ذلك.