Prozess der koordinierten Offenlegung von Sicherheitslücken
Arthrex ist in vollem Umfang bestrebt, kompromisslose Qualität für das medizinische Fachpersonal, das unsere Produkte verwendet, und für die Millionen Patient:innen, deren Leben wir letztendlich beeinflussen, zu liefern. Arthrex verfolgt einen umfassenden Cybersicherheitsansatz zur Sicherung seiner Produkte durch das Secure Product Development Framework (SPDF). Arthrex nutzt bewährte Verfahren und ein sicheres Design, um während des gesamten Software-Produktlebenszyklus hohe Sicherheits- und Datenschutzstandards zu gewährleisten.
Arthrex hat ein formalisiertes Vorgehen für den Umgang mit gemeldeten Sicherheitslücken bei Produkten entwickelt. Arthrex fördert und begrüßt Berichte über Sicherheitslücken von Forschenden, Industriegruppen, CERTs, Partnern und weiteren Quellen. Die Offenlegung von Sicherheitslücken ist Teil der Selbstverpflichtung von Arthrex zur Gewährleistung der Sicherheit und des Schutzes unseres Produktportfolios.
Hinweis: Unser Programm zur Offenlegung von Sicherheitslücken ist nicht für Informationen zum technischen Support für unsere Produkte oder für die Meldung von unerwünschten Ereignissen oder Beschwerden zur Produktqualität gedacht. Falls Sie einen dieser Fälle melden möchten, wenden Sie sich bitte an den Global Product Support von Arthrex.
Hinweis: Arthrex nimmt nicht an Bug-Bounty-Programmen teil und bietet keine Entschädigung für gemeldete Schwachstellen.
Leitlinien
Wir fordern von allen Forschenden:
- Systeme zu testen und zu erforschen, ohne jemandem zu schaden und dies nur innerhalb des Rahmens unseres Programms zur Offenlegung von Sicherheitslücken zu tun.
- Produkte zu testen, ohne unsere Kund:innen zu beeinträchtigen, bzw. die Erlaubnis / Zustimmung unserer Kund:innen einzuholen, bevor Tests auf Sicherheitslücken an deren Produkten, Software usw. durchgeführt werden
- Darauf zu achten, dass während der Sicherheitstests Datenschutzverletzungen, eine Beeinträchtigung der User-Erfahrung, eine Störung der Produktionssysteme und die Vernichtung von Daten vermieden werden
- Exploits nur in dem erforderlichen Umfang zu verwenden, um eine Sicherheitslücke zu bestätigen Exploits nicht zu verwenden, um Daten zu kompromittieren oder zu exfiltrieren, dauerhaften Befehlszeilenzugriff zu erhalten oder auf andere Systeme überzugehen
- Gemeinsam mit Arthrex an einer Lösung zu arbeiten, bevor die Sicherheitslücke öffentlich bekannt gegeben wird
- Sich an sämtliche geltenden Gesetze halten
Wenn Sie uns ein Problem melden und diese Richtlinien befolgen, verpflichten wir uns zu Folgendem:
- Wir arbeiten gemeinsam mit Ihnen daran, das Problem zu verstehen und zu lösen.
- Wir halten Sie über den Fortschritt der Bearbeitung einer Sicherheitslücke auf dem Laufenden.
Anwendungsbereich
Arthrex nimmt nur Berichte über Sicherheitslücken bei aktiv instandgehaltenen Medizinprodukten, Software als Medizinprodukt und mobilen medizinischen Anwendungen entgegen.
Im Interesse der Sicherheit unserer User:innen, Mitarbeitenden und Ihnen als Sicherheitsforschenden sind die folgenden Arten von Tests/Ergebnissen vom Anwendungsbereich ausgeschlossen:
- Ergebnisse von physischen Tests, wie z. B. Zugang zum Büro (z. B. offene Türen, Tailgating-Angriffe)
- Erkenntnisse, die in erster Linie aus Social Engineering stammen (z. B. Phishing, Vishing)
- Erkenntnisse aus Anwendungen oder Systemen, die nicht im Abschnitt „Anwendungsbereich“ aufgelistet sind
- Denial-of-Service-Sicherheitslücken auf Netzwerkebene (DoS/DDoS)
Melden einer Sicherheitslücke
Falls Sie glauben, eine Sicherheitslücke bei einem unserer Produkte oder auf einer unserer Plattformen gefunden zu haben, senden Sie uns bitte eine E-Mail an productsecurity@arthrex.com. Bitte fügen Sie Ihrem Bericht die folgenden Angaben bei, wenn möglich in englischer Sprache:
- Ihre Kontaktdaten, damit wir uns mit Ihnen in Verbindung setzen können
- Produktname
- Betroffene Version(en)
- Einschätzung der potenziellen Auswirkungen und des Schweregrades
- Mögliche Grundursachen
- Eine detaillierte Beschreibung der Tools und Schritte, die erforderlich sind, um die Sicherheitslücke zu reproduzieren (Proof-of-Concept-Skripte, Screenshots und komprimierte Bildschirmabzüge helfen uns dabei)
- Etwaige Vorabmitteilungen an andere Parteien
Hinweis: Berichte, die nur Speicherauszüge nach Programmabstürzen (Crash Dumps) oder andere automatische Tool-Ausgaben enthalten, erhalten möglicherweise eine niedrigere Priorität.
Sicherheitsforschende sollten die Sicherheitsberichte vorzugsweise verschlüsseln. Verwenden Sie bitte unseren PGP-Schlüssel:
- Email: productsecurity@arthrex.com
- [PGP Key]
- PGP fingerprint: 766F97D7717A124F3DC9420D4E492F33C48EC56A
Mitteilung
Für den Fall, dass Sie sich entscheiden, Arthrex Informationen zu übermitteln, erklären Sie sich damit einverstanden, dass die von Ihnen übermittelten Informationen als nicht urheberrechtlich geschützt und nicht vertraulich betrachtet werden und dass Arthrex diese Informationen auf jegliche Art und Weise, ganz oder teilweise, ohne jegliche Einschränkung verwenden darf. Darüber hinaus erklären Sie sich damit einverstanden, dass die Übermittlung von Informationen keinerlei Rechte für Sie oder Verpflichtungen für Arthrex begründet.