罗氏诊断公司有适当的机制来识别和解决其产品中的漏洞,并对客户和患者以及当局的要求做出回应。本页介绍了罗氏诊断公司接收产品中潜在网络安全漏洞相关报告的方法,以及该公司向客户和其他相关利益相关者通报已核实漏洞的标准做法。
如果您是/代表罗氏的客户,请告知您的负责人罗氏诊断公司中国分公司关于产品问题,包括任何潜在的网络安全漏洞,以确保根据您的服务合同进行适当的投诉处理和处理。
如果您想报告罗氏诊断产品和/或服务中的潜在网络安全漏洞,请通过security@roche.com.
为帮助我们有效地处理网络安全问题,请在通过电子邮件发出的初始通知中提供以下详细信息:
■你的联系方式
■安全通信的首选方法(如PGP Key-ID、PGP指纹等)
■漏洞查找日期、时间和位置
■可能受影响的罗氏产品清单
一旦我们建立了安全的通信通道(通过PGP加密/签名),请提供以下详细信息以便快速响应:
■关于你的发现的技术细节
■重现问题的步骤
■如果可用:概念证明利用代码
■如适用:已观察到的漏洞利用/已观察到的影响/漏洞可能被主动利用的指标
在初始通知或后续通信中提供详细信息时,请不要包括任何受保护的健康信息、患者信息或其他受保护的数据。请仅提供罗氏诊断公司审查和处理任何潜在网络安全问题(例如,潜在漏洞或漏洞)所需的信息。
请注意,通过提交这些信息,您同意罗氏诊断可根据需要使用和分发这些信息,并且您同意提交不会为您创造任何权利,也不会为罗氏创造任何义务。
一旦漏洞被确认,Roche将使用所提供的详细信息:
罗氏诊断还可自行决定向信息共享和分析组织(ISAOs)和其他信息共享社区分发或发布公告,或在本网站和其他定义的网站上发布此类公告。
根据要求,问题的发现者将在此类通知中得到确认。
罗氏要求发现者在得到罗氏明确同意之前不要公布漏洞。