协调脆弱性披露

协调脆弱性披露

Elekta协调漏洞披露声明

Elekta致力于确保我们开发和提供的癌症治疗产品的安全性和安全性。雷竞技下载二维码Elekta欢迎安全研究人员和我们的客户(“提交者”)提供的无价贡献。此协调漏洞披露策略旨在确保产品安全漏洞的报告和处理过程是负责和精简的。

范围

此声明适用于所有支持的ELEKTA产品和解决方案。Elekta与提交者合作的目标应始终是降低受任何发现漏洞影响的医疗保健解决方案的风险和患者安全性。

法律信息

Elekta不会为善意行事,并遵守本政策中描述的协调指示和准则,包括遵守所有适用法律。

与Elekta沟通

为了确保在两个方向上正确处理本公开,提交者应遵循以下说明:

  • 提交英文报告至productsecurity@elekta.com。
  • 用我们PGP公钥可在此网页上加密任何电子邮件提交。
  • 向我们提供有关安全问题或漏洞的详细技术信息,包括
    • 特定的测试产品,包括产品名称和版本号
    • 技术基础设施测试,包括操作系统和版本;以及任何相关的附加信息,如网络细节
    • 对于基于web的产品,测试日期和时间、url、浏览器类型和版本,以及提供给应用程序的输入
    • 发现的漏洞的详细信息,您如何发现它,影响和任何潜在的修复
    • 任何证据表明这种漏洞正在被利用
    • 任何可以帮助Elekta验证问题的附加信息,包括用于测试的工具
  • 请勿在您提供给Elekta的任何截图或其他文件或内容中包含敏感信息(与漏洞细节相关的信息除外)。
  • 如果提交者涉及ICS-Cerc,CER CC,相关监管机构或其他适当的缔约方,则与提供的任何跟踪号码共享该信息。
  • 提供包括概念验证代码的报告,以允许Elekta更好地分类。

elekta责任

一旦我们收到报告,艾丽卡将:

  • 在三(3)个工作日内确认收到。
  • 为您的报告提供一个唯一的跟踪号码。
  • 对潜在的发现进行初步评估,以确定准确性、升级需求和产品组升级到的程度。
  • 如果需要建立漏洞,请求提供更多信息
  • 让你了解你的报告的情况
  • 如果漏洞是在我们产品的一部分的第三方组件中,我们将向该第三方提交报告,并告知您该通知。通过同意,与第三方分享您的联系信息。
  • 在验证漏洞后,制定解决方案
  • 对分辨率进行QA /验证测试
  • 使用现有流程来管理补丁或安全修复的发布,这可能包括直接通知客户或发布安全建议
  • 如果要求,如果报告结果是公开发布的修复或交流,提供研究人员的公众认可。
  • 必要时或者我们无法解决沟通问题或其他问题,Elekta可能会带来中立的第三方(如Cert / CC,DHS-ICS-Cercer或相关监管机构),以协助确定处理的最佳方式脆弱性。

提交者的期望是什么?

通过本声明,Elekta希望提交人遵守以下指导方针。

  • 切勿在用于患者护理,患者诊断或监视(使用测试或开发环境以执行漏洞测试)的使用中使用任何测试(或黑客)
  • 遵守所有适用的法律法规
  • 使用社会工程获得系统访问权
  • 不要访问,修改或删除您没有合法控制的任何帐户或系统中的任何数据
  • 不要利用您所发现的漏洞或任何问题;不要采取任何不成比例或非法行动,包括建造后门进入系统
  • 我们要求您使用Elekta在选择公开发布日期,了解有关发现漏洞的信息,以尽量减少公共安全,隐私和安全风险的可能性
  • 在双方商定的时限到期前,避免向公众披露漏洞细节。如有任何披露计划,请在公开披露前告知我们。


与Elekta共享的任何信息都可以以Elekta认为合适的任何方式使用。提交任何信息并不会给提交者带来任何权利,也不会给Elekta带来任何义务。