漏洞纰漏
负责任披露
范围
我们的漏洞报告计划涵盖包含软件的新光维产品,包括已上市的医疗器械、医疗设备软件、植入物、大型设备和移动医疗应用。
本计划旨在接收漏洞报告,并非为我们的产品提供技术支援信息,也不用于报告不良事件或产品质量投诉。。
漏洞披露声明
新光维坚定不移地致力于提供安全可靠的产品,并已建立一个植根于我们质量管理体系的强大安全计划。该系统通过主动监控和在发现漏洞时快速响应,帮助我们的组织达到最高安全级别。
如何报告潜在的产品安全漏洞
新光维已制定流程,用于接收来自外部的潜在产品安全漏洞、验证其存在性,并确定如何最佳响应以提升产品的安全性和防护性。在此语境下,"漏洞"是指提交者认为可被利用的安全弱点。请通过电子邮件将潜在的产品安全漏洞发送至新光维产品安全团队邮箱:product-security@scivitamedical.com。请注意,请勿提交任何包含个人可识别健康信息的数据,如有可能,请以英文提交信息。请在邮件中提供以下信息:
- 联系信息。
- 对您发现的潜在产品安全漏洞及所用利用方法的清晰描述。
- 详细的产品信息,包括:
- 产品名称
- 型号
- 序列号或批号
- 软件版本号
- 您识别潜在产品安全漏洞时所使用的网络配置信息。
- 可用的概念验证利用代码。
- 您发现该潜在产品安全漏洞的方式及其潜在影响。
- 公开披露的计划或意图,以及您是否已与漏洞协调机构沟通及其为此潜在漏洞提供的跟踪编号(如有)。
您可以从新光维获得的回应
对于在此流程范围内的提交:
- 我们将在五(5)个工作日内确认收到您的报告。
- 我们将提供新光维负责此报告问题的联系人姓名。
- 初步评估后,新光维将发送预期的评估时间表,并承诺在补救时间表以及任何可能延长时限的问题或挑战方面尽可能保持透明。
- 新光维将尝试复现您的结果。如果在此过程中遇到任何困难,我们会与您沟通。
- 如果确认为漏洞,新光维将对该漏洞进行风险评估,并与您讨论该评估结果。
- 在准备潜在修复方案期间,新光维将确定用户是否需要实施补偿性控制措施,并通过我们正常的客户通知流程告知客户。
- 如果新光维确定有必要进行外部发布的沟通,我们将与您协作协调发布公告,以便您(如希望)获得相应荣誉。
此处描述的流程并非保证,而是新光维的意向声明,该声明可能根据具体情况的变化而调整。
如果您就向新光维报告漏洞存在法律方面的顾虑,请先发送电子邮件至 product-security@scivitamedical.com,告知新光维您的顾虑,然后再通过我们的产品安全报告流程提交任何详细信息。
新光维欢迎以善意进行并提交的任何研究,并在此提醒:
- 新光维期望您的测试意图不会对患者、客户或新光维造成伤害。
- 我们的软件受许可条款保护,这些条款禁止公开披露新光维产品中包含的专有信息。请首先就您的发现与新光维沟通,以便我们共同商定双方同意的披露计划。
- 您必须遵守中国及您所在地区的法律。
- 切勿在积极使用的设备上,或将在您调查后用于患者护理的设备上执行安全测试。
通过此流程向新光维提交信息,即表示您同意:信息的提交不会为您创设任何权利,该等信息将被视为您非保密且非专有的信息,并且新光维有权全部或部分地使用该等信息用于任何用途或目的,不受任何限制,也无需对您进行补偿或以任何其他方式使新光维承担义务。
请注意,新光维目前尚未设立漏洞赏金计划。
本文档版本创建于 2025 年 11 月 11 日。
Copyright © 新光维医疗科技(苏州)股份有限公司 All Rights Reserved
网站备案/许可证号:苏ICP备18001379号-1
药品、医疗器械互联网信息服务备案编号:苏网药信备字〔2025〕00235号