飞利浦有责任披露声明

飞利浦致力于确保使用产品的患者、操作员和客户的安全。飞利浦建立了一个产品安全人员全球网络,为我们的产品和服务以及管理安全事件开发和部署具有先进最佳实践的安全和隐私功能。飞利浦在全球产品安全政策下运作,该政策可对与确定产品和服务中潜在安全和潜在隐私漏洞相关的事件响应和所有风险评估活动进行指导。飞利浦支持协调漏洞披露,并同时鼓励安全研究人员和客户进行漏洞测试,同时有责任向飞利浦报告。

 

为此,飞利浦建立了一个产品安全页面 www.philips.com/security,提供软件漏洞测试和有责任报告信息。

 

提交漏洞发现报告时,为获得安全、高效的支持,请确保遵循以下流程。

 

PGP 公共密钥

 

报告流程:

  1. 请使用 PGP 公共密钥对通过 productsecurity@philips.com 提交给我们的所有邮件进行加密。
  2. 请向我们提供您的参考/咨询编号和足够的联系信息(如组织和联系人姓名),以便我们能够与您取得联系。
  3. 请提供问题或漏洞的技术描述。
    1.  请提供您测试的特定产品的信息,包括产品名称和版本号;测试的技术基础架构,包括操作系统和版本;以及任何相关附加信息,如网络配置详情。
    2. 对于基于 Web 的服务,请提供测试的日期和时间、URL、浏览器类型和版本,以及向应用程序提供的输入。
  4. 要帮助我们验证问题,请提供所有附加信息,包括用于执行测试的工具以及任何相关测试配置详情。如果您记下了特定概念验证或漏洞检测代码,请提供副本。请确保提交的所有代码均照此清楚标明并使用 PGP 密钥进行加密。
  5. 如果您已经确定了与漏洞相关的具体威胁、评估了风险或发现了被利用的漏洞,请提供相关信息,同样使用 PGP 加密。
  6. 如果您将漏洞信息传达给 ICS-CERT、CERT/CC、NCSC 等漏洞协调组织或其他各方,请告诉我们并提供跟踪编号(如果已提供)。

 

产品安全漏洞报告评估和措施:

  1. 飞利浦将在两个工作日内确认收到您的报告。
  2.  飞利浦将向您提供报告的唯一跟踪编号。
  3. 飞利浦将为每个案例指定联系人。
  4.  飞利浦重要安全事件响应团队将通知相应的产品团队。
  5. 飞利浦将让您了解报告的状态。
  6. 如果第三方组件(作为产品/服务的一部分)确实存在漏洞,我们会将报告提交给第三方并将以通知的形式告知您。为此,请告诉我们您是否允许我们在此类情况下将您的联系信息提供给第三方。
  7. 收到漏洞报告后,飞利浦将采取以下措施:
    1.  验证报告的漏洞。
    2. 研究解决方案。
    3. 就解决方案执行 QA/验证测试。
    4. 发布解决方案。
    5. 与开发团队共享经验教训。
  8. 飞利浦将使用现有客户通知流程管理补丁或安全补丁的发布,其中可能包括直接通知客户或在网站上公开发布公告通知。

 

注意事项:

  1.  应避免包含敏感信息,例如向我们提供的截图或其他附件中带有患者信息。
  2.  请勿对正在使用的产品执行漏洞或相似测试。漏洞测试应只能在目前未使用或不打算使用的设备或系统上执行。
  3. 对于医疗保健产品,切勿对正用于患者护理或患者监测的产品执行漏洞或相似测试。
  4.  对于基于 Web 的产品,请使用演示/测试环境执行漏洞测试。
  5.  请勿利用已发现的漏洞或问题;例如,下载的数据多于演示漏洞所必需的数据或删除或修改任何数据。
  6.  执行漏洞测试后,应该重新测试各个设备以确保未造成损坏且设备适合使用。在重新使用设备之前,请先联系您的服务提供商。
  7.  作为漏洞披露有责任协调的一部分,我们鼓励您在选择已发现漏洞信息发布日期方面配合飞利浦的工作。为将公共安全、隐私和安全风险的可能性降至最低,我们请求您在同步信息发布方面进行合作。在公开披露之前,请将您的披露计划(如有)告诉我们。
  8.  披露者不得有过度行为,例如:
    1.  使用社交操纵获得系统访问权限。
    2. 在信息系统中建立他或她自己的后门,然后以此来演示漏洞,这样做可能会造成附加损害并导致不必要的安全风险。
    3. 对漏洞的利用远远超出确定其存在的必要行为。
    4. 复制、修改或删除系统上的数据。与此类似的做法是制作系统目录列表。
    5. 对系统做出改变。
    6. 反复获得系统访问权限或与他人共享访问权限。
    7. 使用暴力式攻击获得系统访问权限。这并非严格意义上的漏洞,而是反复尝试密码。
  9. 如果要求,飞利浦将对在公开发布的补丁或安全补丁发布信息中制作漏洞报告或执行测试的研究人员提供完全信用。

 

注意:

如果您决定与飞利浦共享所有信息,即表明您同意所提交的信息将被视为非专属和非保密性质信息且允许飞利浦不受限制地以任何形式、全部或部分使用此类信息。此外,您同意提交信息不为自己创造任何权利或飞利浦不承担任何义务。

 

上次更新: 2015年1月5日