Déclaration relative à la divulgation coordonnée des vulnérabilités de Masimo

 

Services mondiaux

Déclaration relative à la divulgation coordonnée des vulnérabilités de Masimo

Dernière mise à jour : 3 juin 2024

Déclaration relative à la divulgation coordonnée des vulnérabilités

Masimo reconnaît le rôle crucial des chercheurs en sécurité dans la protection de ses produits et de ses données. Conscients des lourdes conséquences que peuvent avoir les vulnérabilités, nous nous engageons fermement à assurer la sécurité de nos produits et de nos services. Nous préconisons la divulgation responsable des vulnérabilités et l'examen de tous les signalements crédibles.

Champ d'application

Cette politique couvre tous les dispositifs médicaux et applications logicielles produits, distribués ou vendus par Masimo.

Certaines activités et vulnérabilités n'entrent pas dans le champ d'application de cette politique, notamment, mais pas exclusivement :

  • les vulnérabilités constatées dans les services et qui sont en lien direct avec les systèmes d'exploitation ;
  • les vulnérabilités constatées dans les composants tiers ; et
  • les tests de sécurité susceptibles de dégrader, de perturber ou de compromettre les services ou l'expérience utilisateur (par exemple, déni de service, force brute, pulvérisation de mots de passe).

Procédure de signalement des vulnérabilités

Les chercheurs doivent d'abord nous contacter par e-mail à l'adresse TechService-US@masimo.com pour nous informer d'une vulnérabilité potentielle.

Nous vous demandons d'inclure les informations suivantes dans votre premier message :

  • Description générale de la vulnérabilité
  • Caractéristiques de l'appareil concerné (par exemple : version, modèle ou numéros de série)
  • Toute information pertinente concernant les ordinateurs, la connectivité réseau, les configurations de micrologiciel ou les outils utilisés au moment où vous avez constaté la vulnérabilité
  • Description du code d'exploitation potentiel, preuve de concept et exemple de capture de paquets, le cas échéant
  • Date et lieu de constatation de la vulnérabilité
  • Menaces avérées ou présumées liées à la vulnérabilité (y compris toute exploitation avérée ou présumée)
  • Si la vulnérabilité est connue d'autres parties ou a été signalée à des agences gouvernementales ou de réglementation
    • Si vous avez communiqué des informations sur la vulnérabilité à des coordinateurs de vulnérabilité tels que la CISA ou d'autres parties, veuillez nous en informer et fournir le numéro de suivi, le cas échéant.
  • Mode de contact privilégié et coordonnées pour poursuivre les échanges, si nécessaire.
    • Par souci de clarté et d'efficacité, nous vous recommandons de rédiger votre signalement en anglais.

Dès réception, notre équipe vous fournira des instructions spécifiques concernant la soumission sécurisée du signalement de vulnérabilité détaillé. Si besoin est, nous demanderons un complément d'information à l'auteur du signalement.

L'auteur du signalement doit activer le chiffrement pour toutes les communications par e-mail afin de garantir la sécurité des informations échangées.

Nous vous prions de n'inclure aucune information confidentielle sensible, telle que des informations patient, dans les captures d'écran ou autres informations que vous nous transmettez.

Modalités de soumission

Afin de permettre une résolution constructive et efficace, nous demandons une divulgation détaillée des vulnérabilités dans le respect des conditions suivantes :

  • Limiter les actions à la vérification de l'existence de la vulnérabilité sans l'exploiter à d'autres fins que la preuve, en évitant notamment l'extraction de données ou l'introduction de nouvelles vulnérabilités.
  • Ne pas rendre publiques les vulnérabilités avant que nous ayons convenu d'une période de divulgation coordonnée.
  • Éviter toute recherche sur des systèmes présentant un risque de préjudice pour les patients, notamment tout test sur des produits ou des infrastructures en milieu clinique ou autre environnement sensible où ils sont utilisés pour le soin, le diagnostic ou le suivi des patients, ou qui pourrait avoir un impact sur de telles activités.
    • Éviter la recherche sur d'autres systèmes en cours d'utilisation.
  • Nous informer rapidement de toute communication avec des organismes gouvernementaux ou de réglementation ou tout autre tiers à propos de vulnérabilités constatées.

Nous demandons instamment aux chercheurs de mener leurs investigations de manière responsable, sans enfreindre les lois sur la protection de la vie privée ni nuire aux produits Masimo, aux données des utilisateurs ou à l'expérience utilisateur.

Notre engagement envers les chercheurs

Tout chercheur soumettant un signalement de vulnérabilité peut s'attendre à une réponse de la part de notre équipe selon les modalités suivantes :

  • Dans un délai de 5 jours calendaires suivant la soumission, vous recevrez un accusé de réception de votre signalement. Par ce premier accusé de réception, nous vous assurons que vos découvertes sont prises au sérieux et qu'elles vont être examinées par notre équipe de sécurité.
  • Tout au long du processus d'évaluation et de résolution des vulnérabilités, nous nous engageons à vous tenir régulièrement informé de l'examen de votre signalement. Notre objectif est de maintenir une communication transparente et ouverte, en veillant à ce que vous soyez pleinement informé de la progression du traitement de votre soumission.
  • Si une vulnérabilité est vérifiée, nous en informerons les équipes responsables des produits concernés.
  • Nous déterminerons alors la pertinence d'un correctif, d'une mise à jour ou d'autres mesures suggérées. Les solutions adéquates seront développées et préparées en vue d'une distribution.
  • Enfin, nous publierons et diffuserons les correctifs, mises à jour ou autres actions suggérées. Il peut s'agir d'une notification directe aux clients ou de la publication d'un avis sur notre site Web.
  • Nous sommes conscients de l'importance de protéger votre identité et les informations sensibles contenues dans votre rapport. Nous ne divulguerons aucune information susceptible de révéler votre identité sans avoir obtenu au préalable votre accord explicite.

Résultats attendus après la soumission

En soumettant des informations dans le cadre de cette procédure, vous consentez aux dispositions suivantes :

  • Masimo est autorisé à utiliser les informations relatives à la vulnérabilité (autres que les données personnelles de l'auteur du signalement ou du chercheur) de quelque manière que ce soit, en totalité ou en partie, sans aucune restriction.
  • La soumission de ces informations ne crée aucun droit pour vous ni aucune obligation pour Masimo, y compris aucune obligation de paiement.
  • Vous ne disposez d'aucun droit de propriété ou de confidentialité sur les informations soumises.

PLCO-007373/PLMM-12578A-0924 EN-PLMM-12577A