Erklärung zur koordinierten Offenlegung von Schwachstellen
Getinge setzt sich dafür ein, sicherzustellen, dass alle Menschen in allen Gesellschaften Zugang zur bestmöglichen Gesundheitsversorgung haben. Als Unternehmen unterstützen wir unsere Kundinnen und Kunden dabei, ihre Herausforderungen in den Bereichen Gesundheitswesen und Life Science zu meistern. Wir teilen unser Wissen, unsere Technologien und Ressourcen, um optimale klinische Ergebnisse zu erzielen und letztendlich Leben zu retten.
Unsere Kundinnen und Kunden und letztendlich die Patientinnen und Patienten erwarten, dass die Produkte von Getinge von hoher Qualität, sicher und gegen Schwachstellen geschützt sind, die das Funktionieren der Produkte und die Sicherheit, Integrität und Privatsphäre der von den Produkten verwendeten Informationen und Daten beeinträchtigen könnten.
Die Sicherheit, Integrität und Privatsphäre der sensiblen Daten unserer Kundinnen und Kunden, Patientinnen und Patienten sowie Betreiberfirmen unserer Systeme ist in unsere Entwicklungsprozesse tief eingebettet. Getinge ermutigt seine Kundinnen und Kunden jedoch, potenzielle Sicherheits- und Datenschutzlücken, die in unseren Produkten und Lösungen identifiziert wurden, verantwortungsbewusst zu melden.
Getinge unterhält eine Produktsicherheitsseite, um Kontaktdaten und Informationen über die genauen Verfahren zum Testen und Melden von Schwachstellen bereitzustellen.
Wenn Sie auf ein Problem mit unseren Produkten stoßen, das keine Sicherheits- oder Datenschutzschwachstelle darstellt, oder wenn Sie auf ein anderes Problem stoßen, das die Sicherheit von Patientinnen und Patienten, Anwenderinnen oder Bedienern beeinträchtigen könnte, wenden Sie sich bitte an Ihre örtliche Vertriebs- und Servicevertretung.
Wie sollten Sie vorgehen?
Wenn Sie eine Sicherheits- oder Datenschutzlücke entdecken, möchten wir Sie bitten, uns dies durch Ausfüllen dieses Formulars mitzuteilen. Wir wissen es zu schätzen, wenn Sie uns alle Informationen in englischer Sprache übermitteln und bitten Sie darauf zu achten, dass in Screenshots oder anderen Anhängen, die Sie uns zur Verfügung stellen, keine sensiblen Informationen, wie z. B. Patientendaten, enthalten sind.
Was wir tun werden
- Wir senden Ihnen eine Bestätigung, dass wir Ihren Bericht erhalten haben.
- Je nach Problem bewerten wir das erforderliche Analyseniveau und stellen sicher, dass wir nach der Ursache der Schwachstelle suchen.
Verantwortungsvolle Sicherheitsprüfung
Wir schätzen Ihre Untersuchungsbemühungen, aber bitte führen Sie die Tests in einer sicheren Umgebung durch.
- Führen Sie NIEMALS Sicherheitstests an aktiv genutzten Geräten durch! Dazu gehören Geräte, die sich im Standby-Modus befinden und nach Ihrer Untersuchung möglicherweise aktiv verwendet werden. Bitte beachten Sie, dass Sicherheitstests Nebenwirkungen auf das Produkt haben können, die nicht unmittelbar erkennbar sind. Wenden Sie sich im Zweifelsfall an Ihr lokales Vertriebs- und Serviceteam, um das Gerät außer Betrieb zu nehmen.
- Führen Sie bei webbasierten Systemen niemals Analysen an Produktionssystemen durch. Verwenden Sie stattdessen ein Demo-, Test- oder Konfigurationssystem.
- Wenn Sie eine Schwachstelle gefunden haben, verwenden Sie sie nur so weit wie nötig, um die Schwachstelle nachzuweisen.
- Nehmen Sie niemals Änderungen an Systemen vor, die im Anschluss an Ihren Test verwendet werden sollen. Wenn Sie das Produkt nach der Änderung außer Betrieb nehmen. Die meisten Schwachstellen können durch schreibgeschützte, nicht verändernde Vorgänge nachgewiesen werden.
Koordinierte Offenlegung von Schwachstellen
Wir möchten sicherstellen, dass die Benutzerinnen und Benutzer unserer Systeme keinen unnötigen Risiken ausgesetzt sind. Wenn Sie beabsichtigen, eine potenzielle Schwachstelle öffentlich bekannt zu geben, teilen Sie uns dies bitte mit. Wir empfehlen Ihnen, mit Getinge zusammenzuarbeiten, um die öffentliche Freigabe von Informationen zu koordinieren oder zu synchronisieren.
Wenn die Schwachstelle verifiziert wird, wird Getinge die Wissenschaftlerin bzw. den Wissenschaftler, welche/r die Schwachstelle gemeldet hat, auf Wunsch in dem veröffentlichten Sicherheitshinweis erwähnen.
Hinweis:
Falls Sie sich dazu entschließen, Getinge Informationen mitzuteilen, erklären Sie sich automatisch damit einverstanden, dass die von Ihnen übermittelten Informationen als nicht urheberrechtlich geschützt und nicht vertraulich betrachtet werden und dass Getinge berechtigt ist, diese Informationen auf beliebige Weise, ganz oder zum Teil, ohne jegliche Einschränkung zu verwenden. Darüber hinaus stimmen Sie zu, dass die Übermittlung von Informationen weder Rechte für Sie noch eine Verpflichtung für Getinge begründet.