脆弱性の開示に関する協調姿勢について
ゲティンゲは、すべての人および社会が最善の医療を受けられるようにするために尽力しています。当社は、最適な臨床転帰を実現し、最終的には命を救うための知識、技術、リソースを提供することで、医療およびライフサイエンスにおけるお客様の課題を解決するお手伝いをします。
当社の顧客、そして最終的には患者は、ゲティンゲの製品が高品質で安全であり、製品の機能および製品で使用される情報・データのセキュリティ、インテグリティ、プライバシーに影響を及ぼす可能性のある脆弱性から保護されていることを期待しています。
当社の顧客、患者および当社システムのオペレーターのセキュリティ、インテグリティ、プライバシーは、当社の開発プロセスの中に深く組み込まれています。しかしながら、ゲティンゲは、当社製品およびソリューションで特定された潜在的なセキュリティやプライバシーの脆弱性を、責任を持って報告することを、顧客に推奨しています。
ゲティンゲは、脆弱性をテストし報告するための正確な手順と連絡先の詳細などの情報を提供するために、製品セキュリティページを設けています。
セキュリティやプライバシーの脆弱性を伴わない当社製品の問題や、患者、ユーザー、オペレーターの安全性に影響を及ぼす可能性のあるその他の問題が発生した場合は、最寄りのセールスやサービス担当者にお問い合わせください。
お客様がすべきこと
セキュリティまたはプライバシーの脆弱性を発見した場合は、このフォームに記入して当社に通知してください。英語ですべての情報を提供し、患者データなどの機密情報を、スクリーンショットやその他の添付ファイルに含めないようお願いいたします。
私たちが行うこと
- 弊社がレポートを受領したことを確認するメールをお送りします。
- 問題に応じて、必要な分析のレベルを評価し、脆弱性の根本原因を確実に検索します。
責任あるセキュリティテスト
弊社はお客様の調査活動を重視していますが、安全な環境で試験を実施してください。
- 使用中の機器に対しては、絶対にセキュリティテストを実行しないでください!これには、スタンバイモードで、調査後に使用される可能性のある機器が含まれます。セキュリティテストは、製品に直接目に見えない影響を及ぼす可能性があることに注意してください。不明な点がある場合は、機器をデコミッションしてください。地域のセールス & サービス担当者にご連絡ください。
- Webベースのシステムでは、生産システムの分析は絶対に行わないでください。代わりにデモ、テスト、または構成システムを使用してください。
- 脆弱性が見つかった場合は、その脆弱性を実証するために合理的に必要な範囲でのみ使用してください。
- テスト後に使用されるシステムには絶対に変更を加えないでください。変更後に製品をデコミッションする場合。ほとんどの脆弱性は、読み取り専用で変更を行わない操作で証明されます。
協調的な脆弱性の開示
弊社では、システムのユーザーが不要なリスクにさらされないようにしたいと考えています。脆弱性の可能性を開示する予定がある場合は、計画を弊社までお知らせください。弊社は、お客様がゲティンゲと協力し、情報の公表を調整または同期することを推奨しています。
脆弱性が検証された場合、ゲティンゲは公開されているセキュリティアドバイザリの脆弱性を報告するクレジットを研究者に提供します(要請された場合)。
注意:
お客様が ゲティンゲと情報を共有することを決定した場合には、お客様が提出した情報が非専有情報および非機密情報と見なされ、ゲティンゲがいかなる方法によっても、全体または一部に関わらず、制限なく使用を許可されることに、自動的に同意するものとします。さらに、お客様は、情報の送信によってお客様の権利やゲティンゲに対する義務は発生しないことに同意するものとします。