/
Translate? This website is also available in your language! Do you want to switch? Yes Not now Don't ask me again

Proceso de divulgación de vulnerabilidades coordinado

Arthrex está totalmente comprometido con brindar una calidad absoluta a los profesionales de la salud que utilizan nuestros productos y, en última instancia, a los millones de pacientes en cuyas vidas influimos. Arthrex sigue un enfoque integral de ciberseguridad para proteger sus productos a través del Marco de desarrollo de productos seguros (SPDF). Siguiendo las mejores prácticas y el diseño seguro, Arthrex se esfuerza continuamente por mantener un alto estándar de seguridad y privacidad durante todo el ciclo de vida del producto de software.

 

Arthrex ha desarrollado un enfoque formalizado para manejar las vulnerabilidades de seguridad informadas para los productos. Arthrex fomenta y da la bienvenida a los informes de vulnerabilidades de investigadores, grupos de la industria, CERT, socios y otras fuentes. La divulgación de vulnerabilidades de seguridad es parte del compromiso de Arthrex de garantizar la seguridad y protección de nuestra cartera de productos.

 

Nota: Este programa de divulgación de vulnerabilidades no está destinado a brindar información de soporte técnico sobre nuestros productos ni a informar eventos adversos o quejas sobre la calidad de los productos. Si necesita informar alguno de estos, visite: Arthrex - Global Product Support.

 

Nota: Arthrex no participa en un programa de recompensas por errores ni proporciona compensación por vulnerabilidades informadas.

 

Pautas

Requerimos que todos los investigadores:

  • Realice pruebas de sistemas o investigaciones sin dañar a nadie y solo dentro del alcance de nuestro programa de divulgación de vulnerabilidades.
  • Realice pruebas en productos sin afectar a los clientes o reciba permiso o consentimiento de los clientes antes de realizar pruebas de vulnerabilidad en sus dispositivos, software, etc.
  • Asegúrese de evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción de datos durante las pruebas de seguridad.
  • Utilice exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, establecer un acceso persistente a la línea de comandos o para cambiar a otros sistemas.
  • Colabore con Arthrex para trabajar en una resolución antes de divulgar la vulnerabilidad públicamente.
  • Cumpla con todas las leyes aplicables.

 

Si sigue estas pautas al informarnos un problema, nos comprometemos a:

  • Trabajaremos con usted para comprender y resolver el problema.
  • Lo mantendremos informado sobre el progreso de una vulnerabilidad a medida que se procesa.

 

Alcance

Arthrex solo acepta informes de vulnerabilidades para dispositivos médicos, software como dispositivo médico y aplicaciones médicas móviles que reciben mantenimiento activo.

En aras de la seguridad de nuestros usuarios, personal y usted como investigador de seguridad, los siguientes tipos de pruebas/hallazgos están excluidos del alcance:

  • Hallazgos de pruebas físicas, como acceso a oficinas (por ejemplo, puertas abiertas, acceso no autorizado)
  • Hallazgos derivados principalmente de ingeniería social (por ejemplo, phishing, vishing)
  • Hallazgos de aplicaciones o sistemas no incluidos en la sección "Alcance"
  • Vulnerabilidades de denegación de servicio (DoS/DDoS) a nivel de red

 

Informar sobre una vulnerabilidad de seguridad
Si cree que ha encontrado una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, envíenosla por correo electrónico a: productsecurity@arthrex.com. Incluya los siguientes detalles con su informe, en inglés, si es posible:

  • Su información de contacto para que podamos comunicarnos con usted
  • Nombre del producto
  • Versión(es) afectada(s)
  • Impacto potencial y estimación de la gravedad
  • Posible causa raíz
  • Una descripción detallada de las herramientas y los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto, las capturas de pantalla y las capturas de pantalla comprimidas nos resultan útiles)
  • Notificaciones previas a otras partes

Nota: Los informes que incluyen solo volcados de memoria u otros resultados de herramientas automatizadas pueden recibir una prioridad menor.

Preferimos que los investigadores de seguridad encripten los informes de seguridad. Utilice nuestra clave PGP:

  • Correo electrónico: productsecurity@arthrex.com
  • [PGP Key]
  • Huella digital PGP: 766F97D7717A124F3DC9420D4E492F33C48EC56A

Aviso

En caso de que decida compartir información con Arthrex, acepta que la información que envíe se considerará no confidencial y no de propiedad privada, y que Arthrex podrá utilizar dicha información de cualquier manera, en su totalidad o en parte, sin ninguna restricción. Además, acepta que enviar información no le genera ningún derecho ni ninguna obligación a Arthrex.