Política de manejo de vulnerabilidades
Para garantizar la seguridad de los sistemas médicos, incluidos los dispositivos y aplicaciones médicas proporcionados por Canon Medical Systems Corporation (en adelante, "nuestra empresa"), y para proteger a los clientes de los ataques cibernéticos, hemos desarrollado productos basados en las "Directrices de la asociación para la alerta temprana en materia de seguridad de la información*1". Divulgaremos información sobre vulnerabilidades mediante el siguiente proceso.
- Supervisión de vulnerabilidades
- Evaluación de riesgos de vulnerabilidad
- Divulgación de vulnerabilidades (publicación de avisos de seguridad)
1. Monitoreo de vulnerabilidades
Aplicamos regularmente herramientas de escaneo de vulnerabilidades para detectar vulnerabilidades. También verificamos regularmente las vulnerabilidades publicadas en el sitio web de la Agencia de Promoción de Tecnología de la Información de Japón. Recopilamos información sobre vulnerabilidades de productos de investigadores de seguridad externos. Hemos creado un sitio web para informar vulnerabilidades relacionadas con nuestros productos y estamos recopilando información ampliamente. Comuníquese con nosotros con cualquier información relacionada con vulnerabilidades de productos a través del Informe de vulnerabilidad de información de seguridad de productos (formulario) en nuestro sitio web. El formulario de informe está encriptado mediante SSL/TLS. Después de que se comunique con nosotros mediante el formulario de informe, nos comunicaremos con usted por correo electrónico. Si su correo electrónico o archivo adjunto contiene información confidencial sobre vulnerabilidades no reveladas, le solicitamos que coopere encriptando su correo electrónico para evitar la divulgación involuntaria de la información a terceros.
2. Evaluación del riesgo de vulnerabilidad
Utilizamos la información sobre amenazas proporcionada por el Centro de análisis e intercambio de información sanitaria (ISAC) de EE. UU. para realizar evaluaciones de riesgo de las vulnerabilidades detectadas. En las evaluaciones de riesgo, evaluamos la posibilidad de que la vulnerabilidad en cuestión se explote en nuestros productos, el grado de daño si se explota la vulnerabilidad y si existe una amenaza de explotación de la vulnerabilidad. Esta evaluación se evalúa cuantitativamente utilizando el Sistema de puntuación de vulnerabilidad común como referencia.
Evaluamos la explotabilidad de las vulnerabilidades recopiladas a través del monitoreo de vulnerabilidades. Para aquellas vulnerabilidades que se determine que son explotables, el departamento de diseño y desarrollo de productos evaluará el grado de daño, las medidas de mitigación de riesgos y la gravedad de la amenaza de la vulnerabilidad y realizará una evaluación integral de la vulnerabilidad. Si determinamos que se requiere una solución o contramedida en función de la evaluación integral, procesaremos el problema como una queja dentro de nuestra empresa y divulgaremos la vulnerabilidad.
También divulgamos vulnerabilidades cuando se informa de una amenaza que puede afectar a nuestros productos y se considera de alta urgencia.
3. Divulgación de vulnerabilidades (publicación de avisos de seguridad)
Publicaremos información sobre vulnerabilidades en nuestro sitio web, incluyendo una descripción general de las vulnerabilidades, el daño potencial causado si se explotan las vulnerabilidades y las medidas para reducir el riesgo de que se exploten las vulnerabilidades. Brindaremos información sobre parches de seguridad que resuelvan las vulnerabilidades o medidas de mitigación de riesgos de seguridad dentro de los tres meses a más tardar.
Cuando identifiquemos vulnerabilidades relacionadas con nuestros productos, colaboraremos con la Agencia de Promoción de Tecnologías de la Información (IPA) o el Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de Japón (JPCERT/CC) para llevar a cabo una divulgación cooperativa de vulnerabilidades. Si es necesario emitir un número CVE/CWE, emitiremos un número CVE/CWE a través de JPCERT/CC y, después de coordinar la fecha de publicación con el denunciante y otras partes relacionadas, publicaremos el aviso de seguridad en nuestro sitio web. Una vez que se emite un número CVE/CWE, la información se proporcionará a los CERT de cada país fuera de Japón a través de JPCERT.
Además, informaremos sobre la vulnerabilidad a JPCERT/CC y a los CERT extranjeros según sea necesario al mismo tiempo que la divulgación. Según las Directrices de la Asociación de Alerta Temprana de Seguridad de la Información, en principio, no divulgaremos información sobre vulnerabilidades antes de divulgarlas a terceros que no sean el informante, la organización coordinadora y el desarrollador del producto.
Si desea aplicar un parche de seguridad que resuelva la vulnerabilidad, comuníquese con la sucursal o el centro de servicio de nuestra empresa más cercano. En el caso de los productos de nuestra empresa que tengan un contrato de mantenimiento para la seguridad del producto, se aplicarán parches de seguridad de acuerdo con el plan.
Si un cliente solicita una política, se la proporcionaremos como documento de política.
*1 Directrices de la Asociación de Alerta Temprana de Seguridad de la Información (emitidas por IPA)
Due to medical device regulatory reasons, not all products/service displayed on this Canon Medical Systems Argentina webpage are available in all countries, regions or markets. Future availability of the products/service cannot also be guaranteed. Please contact your local Canon Medical Systems representative for further details.
