Declaración coordinada de divulgación de vulnerabilidades de Masimo

 

Servicios globales

Declaración coordinada de divulgación de vulnerabilidades de Masimo

Última actualización: 03 de junio de 2024

Declaración coordinada de divulgación de vulnerabilidades

Masimo reconoce las contribuciones cruciales de los investigadores de seguridad para salvaguardar nuestros productos y datos. Nuestro compromiso con la seguridad de productos y servicios es inquebrantable, y reconocemos las importantes implicaciones de las vulnerabilidades. Abogamos por la divulgación ética de las vulnerabilidades y por investigar todos los informes creíbles.

Ámbito

Esta política cubre todos los dispositivos médicos y aplicaciones de software fabricados, distribuidos o vendidos por Masimo.

Determinadas actividades y vulnerabilidades quedan fuera del ámbito de aplicación de esta política, entre las que se incluyen, sin limitación:

  • Vulnerabilidades encontradas en servicios directamente relacionados con los sistemas operativos;
  • Vulnerabilidades detectadas en componentes de terceros; y
  • Pruebas de seguridad que puedan degradar, interrumpir o afectar negativamente a los servicios o a la experiencia de los usuarios (por ejemplo, denegación de servicio, fuerza bruta y pulverización de contraseñas).

Procedimientos de comunicación de vulnerabilidades

Los investigadores deben ponerse inicialmente en contacto con nosotros por correo electrónico en TechService-US@masimo.com para notificarnos una posible vulnerabilidad.

Le pedimos que, como parte de su contacto inicial, incluya la información disponible sobre:

  • Una descripción de alto nivel de la vulnerabilidad;
  • Especificaciones del dispositivo afectado (por ejemplo: versión, modelo o número de serie);
  • Cualquier información pertinente relativa a los ordenadores, la conectividad de red y las configuraciones de firmware, o las herramientas en uso cuando se descubrió la vulnerabilidad;
  • Una descripción del código de la posible explotación, prueba de concepto y captura de paquetes de muestra, si procede;
  • Cuándo y dónde se descubrió la vulnerabilidad;
  • Amenazas conocidas o sospechadas relacionadas con la vulnerabilidad (incluida cualquier explotación conocida o sospechada);
  • Si la vulnerabilidad es conocida por terceros o ha sido notificada a organismos gubernamentales o reguladores;
    • Si comunicó información sobre vulnerabilidades a coordinadores de vulnerabilidades como CISA u otras partes, avísenos y facilítenos su número de seguimiento, si se ha facilitado alguno.
  • Método de comunicación preferido e información de contacto para seguir comunicándonos con usted, si procede
    • Recomendamos la comunicación en inglés para mayor claridad y eficacia.

Una vez recibido, nuestro equipo le proporcionará instrucciones específicas sobre cómo enviar de forma segura el informe detallado de vulnerabilidad. Si es necesario, solicitaremos más información al denunciante.

El denunciante debe activar la encriptación de todas las comunicaciones por correo electrónico para garantizar la seguridad de la información que se intercambia.

Por favor, absténgase de incluir información del paciente sensible, como datos de pacientes, en las capturas de pantalla u otra información que nos proporcione.

Requisitos de documentación

Para facilitar un proceso de resolución constructivo y eficiente, solicitamos una revelación detallada de la vulnerabilidad que incluya:

  • Limitar las acciones a la comprobación de la existencia de una vulnerabilidad sin explotarla para ningún fin más allá de la prueba, incluyendo evitar la extracción de datos o introducir nuevas vulnerabilidades.
  • Abstenerse de divulgar públicamente las vulnerabilidades hasta después de un período de divulgación coordinado y acordado con nosotros.
  • Evite la investigación en sistemas donde exista un riesgo de daño a los pacientes, en particular evitando las pruebas en productos o infraestructuras en entornos clínicos u otros entornos sensibles donde se utilicen para la atención al paciente, el diagnóstico del paciente o la monitorización del paciente, o que puedan afectar a dichas actividades.
    • Evitar la investigación sobre otros sistemas actualmente en uso activo.
  • Infórmenos con prontitud de cualquier comunicación con organismos gubernamentales/reguladores u otros terceros en relación con vulnerabilidades descubiertas.

Instamos a los investigadores a que lleven a cabo sus investigaciones de forma ética, sin violar las leyes de privacidad ni dañar los productos Masimo, los datos de los usuarios o la experiencia de los usuarios.

Nuestro compromiso con los investigadores

Cuando los investigadores envían informes sobre vulnerabilidades, pueden anticipar las siguientes respuestas de nuestro equipo:

  • En un plazo de 5 días naturales a partir de su envío, recibirá confirmación de que hemos recibido su informe. Este reconocimiento inicial es nuestro compromiso de que sus hallazgos se toman en serio y están siendo evaluados por nuestro equipo de seguridad.
  • A lo largo del proceso de verificación y resolución de vulnerabilidades, nos comprometemos a proporcionarle actualizaciones constantes sobre nuestra revisión de su informe. Nuestro objetivo es mantener una línea de comunicación transparente y abierta, asegurándonos de que esté plenamente informado sobre los progresos que estamos haciendo en la tramitación de su solicitud.
  • En el caso de una vulnerabilidad verificada, lo notificaremos a los equipos de producto correspondientes.
  • Determinaremos si un parche/actualización u otras mitigaciones sugeridas son apropiadas para la vulnerabilidad, se desarrollarán las correcciones correspondientes y se prepararán para su distribución.
  • A continuación, publicaremos y lanzaremos parches, actualizaciones u otras acciones sugeridas. Esto puede implicar la notificación directa al cliente o la publicación de un aviso en nuestro sitio web.
  • Somos conscientes de la importancia de proteger su identidad y la información sensible contenida en su informe. No revelaremos ninguna información que pueda revelar su identidad sin obtener previamente su consentimiento explícito.

Expectativas después de la presentación

Al enviar información a través de este proceso, usted acepta que:

  • Masimo está autorizada a utilizar la información relativa a la vulnerabilidad (salvo los datos personales del remitente/investigador) de cualquier forma, en su totalidad o en parte, sin restricción alguna.
  • El envío de dicha información no crea ningún derecho para usted ni ninguna obligación para Masimo, incluidas las obligaciones de pago.
  • Usted no tiene ningún derecho de propiedad o confidencialidad sobre la información enviada.

PLCO-007373/PLMM-12581A-0924 EN-PLMM-12577A