Richtlinie zur koordinierten Offenlegung von Schwachstellen

Inhalt

1 Zweck und Zielsetzung
2 Referenzen
3 Einleitung
4 Geltungsbereich
5 So melden Sie eine Schwachstelle
6 Meldevoraussetzungen
7 Präferenz, Priorisierung und Akzeptanzkriterien

1. Zweck und Zielsetzung

Die Risiken für die Cybersicherheit entwickeln sich mit der technologischen Entwicklung während des Lebenszyklus eines Geräts weiter. Der Zweck dieser Richtlinie besteht darin, darzulegen, wie Senseonics mit Meldungen über Schwachstellen in seinen Produkten umgeht. Dieses Dokument (Einleitung bis Abschnitt 7) wird auf der US-Eversense-Produktwebsite veröffentlicht.

2. Referenzen

Eversense AP Vulnerability Management Plan (Plan zum Umgang mit Schwachstellen), PLN-0537

Eversense 365 Vulnerability Management Plan, PLN-0608

Vulnerability Report Form Template (Formularvorlage zur Meldung von Schwachstellen), TEMP-0078

3. Einleitung

Senseonics ist bewusst, dass Forscher in der Sicherheitsgemeinschaft zur Förderung sicherer Entwurfspraktiken und der Minderung von Sicherheitsrisiken in der Medizinprodukteindustrie eine wichtige Rolle spielen. Andere potenzielle Meldequellen sind unter anderem Kunden, Drittanbieter und andere, die eine Schwachstelle melden möchten. Der Zweck dieser Richtlinie besteht darin, darzulegen, wie Senseonics mit Meldungen über Schwachstellen in seinen Produkten umgeht. Senseonics wird keine rechtlichen Schritte gegen Personen einleiten, die im Rahmen unseres koordinierten Verfahrens zur Offenlegung von Schwachstellen Meldungen einreichen und eine rechtliche Vereinbarung mit uns eingehen.

4. Geltungsbereich

Der Geltungsbereich dieser Richtlinie umfasst Medizinprodukte, Software als Medizinprodukt und mobile medizinische Anwendungen, die von Senseonics bereitgestellt werden.

Diese Richtlinie dient nicht dazu, technischen Support, Fehlerbehebung oder andere Informationen zu unseren Produkten bereitzustellen oder unerwünschte Ereignisse oder Beschwerden bezüglich der Produktqualität zu melden. Für technischen und Kundensupport bezüglich des Eversense CGM-Produkts selbst, senden Sie bitte eine E-Mail an support@eversensediabetes.com.

5. So melden Sie eine Schwachstelle

Um eine potenzielle Schwachstelle zu melden, senden Sie eine E-Mail an security@eversensediabetes.com. Bitte geben Sie in
der E-Mail die erforderlichen Informationen an. Mit dem Absenden der E-Mail erklären Sie sich mit den nachstehenden Regeln einverstanden und erkennen an, dass Senseonics (oder seine Beauftragten) alle von Ihnen zur Verfügung gestellten Daten oder Informationen uneingeschränkt verwenden können. Ihre Meldung gewährt Ihnen keine Rechte am geistigen Eigentum von Senseonics und begründet keine Verpflichtungen für Senseonics.

6. Meldevoraussetzungen

Sicherheitsforscher müssen während des gesamten Forschungs- und Offenlegungsprozesses, einschließlich der anfänglichen Forschung und Tests, die folgenden Voraussetzungen erfüllen:

• Alle geltenden Gesetze und Vorschriften Ihres Standorts und des Standorts, an dem das Senseonics-Produkt zur Verfügung gestellt wird, werden eingehalten
• Nutzen Sie eine Schwachstelle nicht für andere Maßnahmen als den Nachweis ihrer Existenz.
• Nutzen Sie eine Schwachstelle nicht, um sensible Daten aus dem Produkt zu entfernen oder eine Hintertür in das
  Produkt einzubauen oder eine weitere Schwachstelle in das Produkt einzubringen, um es anschließend zu verwenden.
• Fügen Sie niemals sensible Daten (z. B. identifizierbare Patientendaten) in den Text der E-Mail oder in Anhänge ein
• Führen Sie niemals Forschungs- oder Testarbeiten an Produkten durch, wenn die Gefahr besteht, dass der Patient zu Schaden kommt, einschließlich der Gefahr, dass das Produkt vom Patienten nicht verwendet werden kann
• Testen Sie niemals Produkte oder Netzwerkinfrastrukturen in klinischen oder aktiven Umgebungen, in denen die Produkte für irgendeine Art von Patientenversorgung oder -überwachung verwendet werden, oder wenn die Produkte versehentlich auf diese Weise verwendet werden könnten
• Vergewissern Sie sich, dass Sie vor Beginn der Tests die schriftliche Genehmigung des Eigentümers des Senseonics-Produkts eingeholt haben, um sicherzustellen, dass der Anwendungsbereich eindeutig ist
• Geben Sie keine Details über die Schwachstelle an die Öffentlichkeit weiter, bevor ein mit Senseonics vereinbarter Zeitrahmen abgelaufen ist
• Gehen Sie nicht außerhalb des in diesem Dokument beschriebenen Geltungsbereichs vor.
• Informieren Sie Senseonics unverzüglich über Einzelheiten der Kommunikation mit Aufsichtsbehörden oder anderen Dritten über entdeckte Schwachstellen
• Alle von Ihnen übermittelten Informationen werden als nicht urheberrechtlich geschützt und nicht vertraulich betrachtet.

7. Präferenz, Priorisierung und Akzeptanzkriterien

Wir fordern und erwarten in Ihrer Meldung Folgendes:

• Die Meldungen sollten in englischer Sprache verfasst sein.
• Wesentliche Angaben, einschließlich des Standorts des Produkts, der genauen Modell- und Seriennummer,
  der Softwareversion und der Methode zur Beschaffung des Systems.
• Proof-of-Concept-Code, um eine bessere Ersteinschätzung vornehmen zu können.
• Alle Informationen darüber, wie Sie die Schwachstelle entdeckt haben, die Auswirkungen und alle
  möglichen Abhilfemaßnahmen.
• Jegliche Absicht einer öffentlichen Bekanntgabe

Hinweis: Meldungen, die nur die Ausgaben automatisierter Tools wie Crash Dumps enthalten, können eine niedrigere Priorität erhalten.

Was Sie von Senseonics erwarten können:

• Bestätigung Ihrer Nachricht innerhalb von fünf (5) Werktagen
• Während der anfänglichen Bewertung und Ersteinschätzung kann sich ein Mitglied des Senseonics Security Incident Response Teams mit Ihnen in Verbindung setzen:
  • Zusätzliche Informationen
  • Mitteilung des erwarteten Prozesses und des Zeitplans oder
  • Benachrichtigung an Sie, dass die gemeldete Schwachstelle nicht in das Programm aufgenommen wird, weil sie die Programmanforderungen nicht erfüllt oder nicht genügend Details enthält
• Sobald genügend Informationen zusammengetragen wurden und die Meldung angenommen wurde, wird Senseonics:
  • Mit den zuständigen Mitgliedern des Security Incident Response Teams eine Untersuchung vornehmen
  • Sie informieren, wenn die Schwachstellenanalyse die einzelnen Prüfungsphasen durchlaufen hat.
  • Ihnen eine Gutschrift zukommen lassen, nachdem die Schwachstelle überprüft und behoben wurde, wenn Sie dies wünschen
• Wenn die Schwachstelle bestätigt wird und Senseonics der Ansicht ist, dass sie die Patientensicherheit beeinträchtigt, werden wir umgehend an der Entwicklung einer Lösung arbeiten und entsprechende Maßnahmen ergreifen.
• Erforderlichenfalls kann Senseonics einen neutralen Dritten um Unterstützung bei der Lösung der Anfrage bitten.

Hinweis: Alle Aspekte dieser Richtlinie können ohne Vorankündigung geändert werden, und es können von Fall zu Fall Ausnahmen gemacht werden.

REF-0517 Rev 2 - DE

UK English Hebrew Arabic

Coordinated Vulnerability Disclosure Policy

Table of Contents

1 Purpose and Objective
2 References
3 Introduction
4 Scope
5 How to Report a Vulnerability
6 Reporting Requirements
7 Preference, Prioritisation, and Acceptance Criteria

1. Purpose and Objective

Cybersecurity risks evolve as technology evolves throughout a device’s life cycle. The purpose of this policy is to outline how Senseonics will accept vulnerability reports about its products. This document (Introduction through Section 7) will be displayed on the US Eversense product website.

2. References

Eversense AP Vulnerability Management Plan, PLN-0537

Eversense 365 Vulnerability Management Plan, PLN-0608

Vulnerability Report Form Template, TEMP-0078

3. Introduction

Senseonics recognises the important role played by researchers in the security community to promote secure design practices and security risk mitigation within the medical device industry. Other potential sources of reports include, but are not limited to customers, third party vendors, and others who may desire to report a vulnerability. The purpose of this policy is to outline how Senseonics will accept vulnerability reports about its products. Senseonics will not engage in legal action against individuals who submit reports through our Coordinated Vulnerability Disclosure process and enter into a legal agreement with us.

4. Scope

The scope of this policy includes medical devices, software as a medical device, and mobile medical applications provided
by Senseonics.

This policy is not intended to provide technical support, trouble-shooting, or other information about our products, or for reporting adverse events or product quality complaints. For technical and customer support regarding the Eversense CGM product itself, please email support@eversensediabetes.com.

5. How to Report a Vulnerability

To report a potential vulnerability, email security@eversensediabetes.com. Please include the required information in the email you send. By submitting the email, you agree to abide by the rules outlined below, and you acknowledge that Senseonics (or its designees) may use any data or information you provide without restriction. Your submission does not grant you any rights under Senseonics’ intellectual property or create any obligations for Senseonics.

6. Reporting Requirements

Security researchers must adhere to the following prerequisites during the entirety of the research and disclosure process, including initial research and testing:

• Comply with all applicable laws and regulations of your location and the location in which the Senseonics product is made available
• Do not use a vulnerability to take action other than to prove its existence
• Do not use a vulnerability to remove sensitive data from the product or create a backdoor within or introduce further vulnerability into a product for subsequent use
• Never include sensitive data (e.g. identifiable patient data), within the body of the email, or within any attachments
• Never engage in research or testing of products if there is any risk of patient harm, including rendering the device unable to be used by the patient
• Never test products or network infrastructure in clinical or active environments where the products are being used for any type of patient care or monitoring, or if the products could inadvertently be used in such a way
• Ensure you have obtained written permission from the owner of the Senseonics product in advance of any testing to ensure the scope is clear
• Do not disclose details regarding the vulnerability to the public before a mutually agreed timeframe with Senseonics
  has expired
• Do not operate outside the scope described in this document
• Provide Senseonics with details of communication to regulatory organisations or other third parties about any discovered vulnerability, without delay
• All of the information that you submit is considered non-proprietary and non-confidential

7. Preference, Prioritisation, and Acceptance Criteria

In your report, we request and expect the following:

• Reports should be written in English.
• Essential details, including location of product, exact model and serial number, software revision, method used to obtain the system.
• Proof-of-concept code to better equip us to triage.
• All information regarding how you discovered the vulnerability, the impact, and any potential remediation.
• Any intention for public disclosure.

Note: Reports that only include automated tool output such as crash dumps may receive lower priority.

What you may expect from Senseonics:

• Acknowledgement of your message within five (5) business days
• During the initial assessment and triage, a member of the Senseonics Security Incident Response Team may contact you for:
  • Additional information
  • Communication of expected process and timeline or
  • Notify you that the reported vulnerability is not accepted into the programme due to not meeting programme requirements or providing enough detail
• Once sufficient information has been collected, and the report has been accepted, Senseonics will:
  • Investigate with relevant members of the Security Incident Response Team
  • Communicate with you when the vulnerability analysis has completed each stage of review
  • Credit you after the vulnerability has been validated and resolved, if you so desire
• If the vulnerability is confirmed and Senseonics deems it to impact patient safety, we will work expeditiously to develop a resolution and take appropriate action.
• When necessary, Senseonics may request a neutral third party to assist in resolution of the inquiry.

Note: All aspects of this policy are subject to change without notice, as well as for case-by-case exceptions.

REF-0517 Rev 2 - GB

---

---

Politica di divulgazione coordinata delle vulnerabilità

Indice

1 Scopo e obiettivo
2 Riferimenti
3 Introduzione
4 Ambito
5 Come segnalare una vulnerabilità
6 Requisiti di segnalazione
7 Criteri di preferenza, priorità e accettazione

1. Scopo e obiettivo

I rischi per la sicurezza informatica cambiano con l’evoluzione tecnologica durante il ciclo di vita di un dispositivo. Lo scopo della presente politica è descrivere le modalità con cui Senseonics accetterà eventuali segnalazioni di vulnerabilità relative ai propri prodotti. Il presente documento (dall’Introduzione alla Sezione 7) sarà pubblicato sul sito web statunitense dedicato ai prodotti Eversense.

2. Riferimenti

Eversense AP Vulnerability Management Plan, PLN-0537

Eversense 365 Vulnerability Management Plan, PLN-0608

Vulnerability Report Form Template, TEMP-0078

3. Introduzione

Senseonics riconosce il ruolo fondamentale svolto dai ricercatori nel settore della sicurezza per promuovere pratiche di progettazione sicure e la mitigazione dei rischi per la sicurezza nell’industria dei dispositivi medici. Altre potenziali fonti di segnalazioni includono, a titolo esemplificativo ma non esaustivo, clienti, fornitori terzi e altri soggetti che desiderano segnalare una vulnerabilità. Lo scopo della presente politica è descrivere le modalità con cui Senseonics accetterà eventuali segnalazioni di vulnerabilità relative ai propri prodotti. Senseonics non intraprenderà alcuna azione legale nei confronti delle persone che inviano segnalazioni tramite il nostro Processo di divulgazione coordinata delle vulnerabilità e stipulano un accordo legale con noi.

4. Ambito

L’ambito di applicazione della presente politica comprende i dispositivi medici, il software come dispositivo medico e le applicazioni mediche mobili forniti da Senseonics.

La presente politica non è destinata a fornire assistenza tecnica, risoluzione di problemi o altre informazioni sui nostri prodotti, né a segnalare eventi avversi o reclami relativi alla qualità dei prodotti. Per assistenza tecnica e assistenza clienti relative al prodotto CGM Eversense, inviare un’e-mail all’indirizzo support@eversensediabetes.com.

5. Come segnalare una vulnerabilità

Per segnalare una potenziale vulnerabilità, inviare un’e-mail all’indirizzo security@eversensediabetes.com. Si prega di includere tutte le informazioni necessarie nell’e-mail inviata. Con l’invio dell’e-mail, l’utente accetta di rispettare le norme riportate di seguito e riconosce che Senseonics (o le parti da essa incaricate) può utilizzare senza restrizioni tutti i dati o le informazioni forniti. L’invio dei dati non conferisce all’utente alcun diritto sulla proprietà intellettuale di Senseonics né crea alcun obbligo
per Senseonics.

6. Requisiti di segnalazione

I ricercatori nel settore della sicurezza devono rispettare i seguenti prerequisiti durante l’intero processo di ricerca e divulgazione, comprese la ricerca iniziale e l’effettuazione di test:

• Rispettare tutte le leggi e i regolamenti applicabili del proprio luogo di residenza e del luogo in cui il prodotto Senseonics è reso disponibile
• Non utilizzare una vulnerabilità per intraprendere azioni con scopi diversi dalla dimostrazione della sua esistenza
• Non utilizzare una vulnerabilità per rimuovere dati sensibili dal prodotto, creare “backdoor” all’interno di esso o introdurre ulteriori vulnerabilità in un prodotto per un uso successivo
• Non includere mai dati sensibili (ad esempio, dati identificativi dei pazienti) nel corpo dell’e-mail o in eventuali allegati
• Non intraprendere mai attività di ricerca o effettuare test sui prodotti se sussiste il rischio di causare danni al paziente, compresa l’impossibilità di utilizzare il dispositivo da parte del paziente
• Non testare mai i prodotti o l’infrastruttura di rete in ambienti clinici o attivi in cui i prodotti vengono utilizzati per qualsiasi tipo di assistenza o monitoraggio dei pazienti, o se i prodotti potrebbero inavvertitamente essere utilizzati
  in tale modo
• Assicurarsi di aver ottenuto il permesso scritto dal proprietario del prodotto Senseonics prima dell’effettuazione
  di qualsiasi test, al fine di garantire che l’ambito di applicazione sia chiaro
• Non divulgare al pubblico dettagli relativi alla vulnerabilità prima della scadenza di un periodo concordato con Senseonics
• Non utilizzare il prodotto al di fuori dell’ambito descritto nel presente documento
• Fornire tempestivamente a Senseonics i dettagli delle comunicazioni inviate alle autorità di regolamentazione o ad altre terze parti in merito a qualsiasi vulnerabilità rilevata
• Tutte le informazioni fornite dall’utente sono considerate non proprietarie e non riservate.

7. Criteri di preferenza, priorità e accettazione

Nella segnalazione, richiediamo e ci aspettiamo quanto segue:

• Le segnalazioni devono essere scritte in lingua inglese.
• Informazioni essenziali, tra cui l’ubicazione del prodotto, il modello esatto e il numero di serie, la versione software, il metodo utilizzato per ottenere il sistema.
• Il codice proof-of-concept consente un migliore triage.
• Tutte le informazioni relative a come è stata individuata la vulnerabilità, il suo impatto e qualsiasi potenziale soluzione.
• Eventuali intenzioni di divulgazione pubblica.

Nota: le segnalazioni che includono solo risultati generati da strumenti automatici, come i dump di arresto anomalo, potrebbero ricevere una priorità inferiore.

Cosa aspettarsi da Senseonics:

• Ricezione della conferma di ricezione del messaggio entro cinque (5) giorni lavorativi
• Durante la valutazione iniziale e il triage, un membro del Team di risposta agli incidenti di sicurezza di Senseonics potrebbe mettersi in contatto per:
  • Informazioni aggiuntive
  • Comunicazione del processo e delle tempistiche previsti oppure
  • Notifica che la vulnerabilità segnalata non è stata accettata nel programma in quanto non soddisfa i requisiti del programma oppure non sono stati forniti dettagli sufficienti
• Una volta raccolte informazioni sufficienti e accettata la segnalazione, Senseonics provvederà a:
  • Effettuare un’indagine con i membri competenti del Team di risposta agli incidenti di sicurezza
  • Comunicare all’utente il completamento di ciascuna fase della revisione dell’analisi delle vulnerabilità
  • Attribuire all’utente il merito della segnalazione dopo che la vulnerabilità è stata verificata e risolta,
    se lo desidera
• Se la vulnerabilità viene confermata e Senseonics ritiene che possa compromettere la sicurezza dei pazienti, ci impegneremo a sviluppare rapidamente una soluzione e ad adottare le misure appropriate
• Secondo necessità, Senseonics potrà richiedere l’assistenza di una terza parte neutrale per assistere nella risoluzione
  della questione.

Nota: tutti gli aspetti della presente politica sono soggetti a modifiche senza preavviso, nonché a eccezioni valutate caso
per caso.

REF-0517 Rev 2 - IT

Polityka skoordynowanego ujawniania luk w zabezpieczeniach

Spis treści

1 Cel i zadanie
2 Odniesienia
3 Wprowadzenie
4 Zakres
5 Zgłaszanie luk w zabezpieczeniach
6 Wymagania dotyczące zgłaszania
7 Preferencje, priorytety i kryteria akceptacji

1. Cel i zadanie

Zagrożenia związane z cyberbezpieczeństwem zmieniają się wraz z rozwojem technologii w trakcie cyklu życia wyrobu. Celem niniejszej polityki jest określenie sposobu, w jaki firma Senseonics będzie przyjmować zgłoszenia dotyczące luk
w zabezpieczeniach jej produktów. Niniejszy dokument (od Wprowadzenia do Sekcji 7) będzie dostępny na stronie internetowej Eversense w USA.

2. Odniesienia

Plan zarządzania lukami w zabezpieczeniach Eversense AP, PLN-0537

Plan zarządzania lukami w zabezpieczeniach Eversense 365, PLN-0608

Szablon formularza raportu o lukach, TEMP-0078

3. Wprowadzenie

Firma Senseonics dostrzega istotną rolę, jaką odgrywają naukowcy z branży bezpieczeństwa w promowaniu bezpiecznych praktyk projektowych oraz ograniczaniu zagrożeń dla bezpieczeństwa w branży wyrobów medycznych. Inne potencjalne źródła raportów obejmują m.in. dostawców zewnętrznych i inne osoby, które mogą chcieć zgłosić lukę w zabezpieczeniach. Celem niniejszej polityki jest określenie sposobu, w jaki firma Senseonics będzie przyjmować zgłoszenia dotyczące luk w zabezpieczeniach jej produktów. Firma Senseonics nie będzie podejmować żadnych działań prawnych przeciwko osobom, które przesyłają zgłoszenia za pośrednictwem jej procesu skoordynowanego ujawniania luk w zabezpieczeniach i zawrą z nią umowę prawną.

4. Zakres

Zakres niniejszej polityki obejmuje wyroby medyczne, oprogramowanie jako wyrób medyczny oraz mobilne aplikacje medyczne dostarczane przez firmę Senseonics.

Niniejsza polityka nie ma na celu świadczenia pomocy technicznej, rozwiązywania problemów ani udostępniania innych informacji o produktach. Nie dotyczy również zgłaszania zdarzeń niepożądanych ani reklamacji dotyczących jakości produktów. Aby uzyskać wsparcie techniczne lub pomoc techniczną w związku z samym produktem Eversense CGM, należy przesłać zgłoszenie na adres support@eversensediabetes.com.

5. Zgłaszanie luk w zabezpieczeniach

Aby zgłosić potencjalną lukę w zabezpieczeniach, należy wysłać wiadomość na adres security@eversensediabetes.com. W treści wiadomości należy podać wymagane informacje. Wysłanie wiadomości e-mail oznacza wyrażenie zgody na przestrzeganie zasad określonych poniżej i przyjęcie do wiadomości, że firma Senseonics (lub jej przedstawiciele) mogą wykorzystywać wszelkie przekazane dane lub informacje bez żadnych ograniczeń. Zgłoszenie nie powoduje przyznania osobie zgłaszającej żadnych praw do własności intelektualnej firmy Senseonics ani nie nakłada na firmę Senseonics żadnych zobowiązań.

6. Wymagania dotyczące zgłaszania

Naukowcy zajmujący się bezpieczeństwem muszą przestrzegać następujących wymogów wstępnych przez cały proces badania
i ujawniania informacji, w tym podczas wstępnych badań i testów:

• Należy przestrzegać wszystkich obowiązujących przepisów i regulacji obowiązujących w lokalizacji zgłaszającego oraz w lokalizacji, w której udostępniany jest produkt firmy Senseonics.
• Nie wolno wykorzystywać luk w zabezpieczeniach do podejmowania działań innych niż udowodnienie ich istnienia.
• Nie wolno wykorzystywać luk w zabezpieczeniach w celu usunięcia danych poufnych z produktu. Nie wolno tworzyć luk typu backdoor w produkcie ani celowo wprowadzać do niego kolejnych luk w zabezpieczeniach w celu
  późniejszego wykorzystania.
• Nigdy nie umieszczać poufnych danych (np. danych identyfikacyjnych pacjenta) w treści wiadomości e-mail ani
  w załącznikach.
• Nigdy nie angażować się w badania ani testy produktów, jeżeli istnieje jakiekolwiek ryzyko wyrządzenia krzywdy pacjentowi, w tym uniemożliwienia pacjentowi korzystania z urządzenia.
• Nigdy nie testować produktów ani infrastruktury sieciowej w środowiskach klinicznych lub aktywnych, w których produkty są używane do jakichkolwiek celów związanych z opieką nad pacjentem lub monitorowania, lub jeśli
  produkty mogłyby zostać przypadkowo użyte w taki sposób.
• Przed przeprowadzeniem jakichkolwiek testów należy się upewnić, że uzyskano pisemną zgodę właściciela produktu firmy Senseonics, aby mieć pewność, że zakres testów jest jasny.
• Nie wolno ujawniać publicznie szczegółów dotyczących podatności na ataki przed upływem terminu uzgodnionego wspólnie z firmą Senseonics.
• Nie wolno wykonywać czynności wykraczających poza zakres opisany w niniejszym dokumencie.
• Należy niezwłocznie przekazać firmie Senseonics szczegóły dotyczące komunikacji z organami regulacyjnymi lub innymi stronami trzecimi w sprawie wszelkich odkrytych luk w zabezpieczeniach.
• Wszystkie informacje przesłane przez osobę zgłaszającą są uważane za niepoufne i nieobjęte prawem własności.

7. Preferencje, priorytety i kryteria akceptacji

Zgłoszenie powinno spełniać następujące wymagania:

• Zgłoszenia powinny być sporządzone w języku angielskim.
• Podstawowe dane, w tym lokalizacja produktu, dokładny model i numer seryjny, wersja oprogramowania, metoda użyta do uzyskania systemu.
• Kod proof-of-concept, który pozwoli firmie lepiej dokonywać selekcji.
• Wszystkie informacje dotyczące sposobu wykrycia luki w zabezpieczeniach, jej wpływu i potencjalnych
  środków zaradczych.
• Jakikolwiek zamiar ujawnienia publicznego

Uwaga: zgłoszenia zawierające wyłącznie dane wyjściowe z narzędzi automatycznych, takie jak zrzuty pamięci po awarii, mogą otrzymać niższy priorytet.

Czego można oczekiwać od firmy Senseonics:

• Potwierdzenie otrzymania wiadomości w ciągu pięciu (5) dni roboczych
• Podczas wstępnej oceny i segregacji członek zespołu reagowania na incydenty bezpieczeństwa w firmie
  Senseonics może skontaktować się ze zgłaszającym, aby:
  • uzyskać dodatkowe informacje;
  • poinformować o oczekiwanym procesie i harmonogramie lub
  • powiadomić, że zgłoszona luka w zabezpieczeniach nie została zaakceptowana w programie, ponieważ nie spełnia wymagań programu lub nie zawiera wystarczających szczegółowych informacji.
• Po zebraniu wystarczającej ilości informacji i zaakceptowaniu zgłoszenia firma Senseonics:
  • przeprowadzi badanie z udziałem odpowiednich członków zespołu reagowania na incydenty bezpieczeństwa;
  • poinformuje o zakończeniu każdego etapu analizy luki;
  • na życzenie przekaże informacje po sprawdzeniu i usunięciu luki w zabezpieczeniach.
• Jeśli luka zostanie potwierdzona i firma Senseonics uzna, że może ona wpływać na bezpieczeństwo pacjenta, niezwłocznie zajmiemy się rozwiązaniem problemu i podejmiemy odpowiednie działania.
• W razie konieczności firma Senseonics może zwrócić się do niezależnej strony trzeciej o pomoc
  w rozwiązaniu zapytania.

Uwaga: wszystkie postanowienia niniejszej polityki mogą ulec zmianie bez wcześniejszego powiadomienia, a także
w wyjątkowych przypadkach.

REF-0517 Rev 2 - PL

Política coordinada de comunicación de vulnerabilidades

Índice

1 Finalidad y objetivo
2 Referencias
3 Introducción
4 Ámbito de aplicación
5 Cómo notificar una vulnerabilidad
6 Requisitos de notificación
7 Preferencia, priorización y criterios de aceptación

1. Finalidad y objetivo

Los riesgos de ciberseguridad evolucionan conforme lo hace la tecnología a lo largo del ciclo de vida de los dispositivos. La finalidad de esta política es detallar cómo aceptará Senseonics las notificaciones de vulnerabilidades sobre sus productos. Este documento (desde la Introducción hasta la Sección 7) se mostrará en el sitio web de productos de Senseonics.

2. Referencias

Plan de gestión de vulnerabilidades de Eversense AP, PLN-0537

Plan de gestión de vulnerabilidades de Eversense 365, PLN-0608

Plantilla de formulario de informe de vulnerabilidades, TEMP-0078

3. Introducción

Senseonics es consciente del importante papel que desempeñan los investigadores de la comunidad de seguridad a la hora de promover prácticas de diseño seguras y mitigar los riesgos de seguridad en el sector de los dispositivos médicos. Otras posibles fuentes de información son, entre otras, los clientes, los proveedores externos y otras personas que deseen notificar una vulnerabilidad. La finalidad de esta política es detallar cómo aceptará Senseonics las notificaciones de vulnerabilidades sobre sus productos. Senseonics no emprenderá acciones legales contra las personas que envíen notificaciones a través de nuestro proceso de Divulgación coordinada de vulnerabilidades y suscriban un acuerdo legal con nosotros.

4. Ámbito de aplicación

El ámbito de aplicación de esta política incluye los dispositivos médicos, el software como dispositivo médico y las aplicaciones médicas móviles proporcionadas por Senseonics.

Esta política no está destinada a proporcionar asistencia técnica, solución de problemas u otra información sobre nuestros productos, ni a informar sobre eventos adversos o quejas sobre la calidad de los productos. Para obtener asistencia técnica
y acceder al Servicio de Atención al Cliente en relación con el propio producto de MCG Eversense, envíe un correo electrónico
a support@eversensediabetes.com.

5. Cómo notificar una vulnerabilidad

Para notificar una posible vulnerabilidad, envíe un correo electrónico a security@eversensediabetes.com. Incluya la información requerida en el correo electrónico que envíe. Al enviar el correo electrónico, acepta cumplir las normas que se indican
a continuación, y reconoce que Senseonics (o las personas designadas por ella) pueden utilizar los datos o la información que proporcione sin restricción alguna. Su envío no le otorga ningún derecho sobre la propiedad intelectual de Senseonics ni supone ninguna obligación para Senseonics.

6. Requisitos de notificación

Los investigadores de seguridad deben cumplir los siguientes requisitos previos durante todo el proceso de investigación
y divulgación, incluidas la investigación y las pruebas iniciales:

• Cumplir todas las leyes y normativas aplicables de su ubicación y de la ubicación en la que se pone a disposición el producto de Senseonics.
• No utilizar una vulnerabilidad para emprender acciones distintas a demostrar su existencia.
• No utilizar una vulnerabilidad para extraer datos confidenciales del producto, crear una puerta trasera o introducir otra vulnerabilidad en un producto para su posterior uso.
• No incluir nunca datos confidenciales (por ejemplo, datos identificativos de pacientes) en el cuerpo del correo electrónico ni en los archivos adjuntos.
• No participar nunca en investigaciones o pruebas de productos si existe algún riesgo de dañar al paciente, incluida la posibilidad de que el paciente no pueda utilizar el dispositivo.
• No probar nunca los productos ni la infraestructura de red en entornos clínicos o activos en los que los productos se utilicen para cualquier tipo de cuidado o monitorización de pacientes, o si los productos pudieran utilizarse inadvertidamente de ese modo.
• Asegurarse de haber obtenido el permiso por escrito del propietario del producto Senseonics antes de realizar cualquier prueba para garantizar que el ámbito de aplicación es claro.
• No divulgar públicamente los detalles relativos a la vulnerabilidad antes de que haya expirado un plazo acordado mutuamente con Senseonics.
• No operar fuera del ámbito de aplicación descrito en este documento.
• Proporcionar sin demora a Senseonics los detalles de la comunicación a los organismos reguladores u otras terceras partes sobre cualquier vulnerabilidad descubierta.
• Toda la información que envíe se considera no propietaria y no confidencial.

7. Preferencia, priorización y criterios de aceptación

En su notificación, solicitamos y esperamos lo siguiente:

• Las notificaciones deben redactarse en inglés.
• Datos esenciales, incluida la ubicación del producto, el modelo exacto y el número de serie, la revisión del software
  y el método utilizado para obtener el sistema.
• Código de prueba de concepto para ayudarnos a realizar una mejor clasificación de incidentes.
• Toda la información relativa a cómo descubrió la vulnerabilidad, su impacto y cualquier posible solución.
• Cualquier intención de divulgación pública.

Nota: Las notificaciones que solo incluyan resultados de herramientas automatizadas, como volcados de memoria,
pueden obtener menor prioridad.

Qué puede esperar de Senseonics:

• Acuse de recibo de su mensaje en un plazo de cinco (5) días laborables.
• Durante la evaluación y clasificación iniciales, un miembro del equipo de respuesta ante incidentes de seguridad de Senseonics puede ponerse en contacto con usted para:
  • solicitarle información adicional;
  • comunicarle el proceso y el calendario previstos; o
  • notificarle que la vulnerabilidad notificada no se acepta en el programa porque no cumple los requisitos del programa o no proporciona suficientes detalles.
• Una vez recopilada suficiente información y aceptada la notificación, Senseonics:
  • Investigará con los miembros pertinentes del equipo de respuesta ante incidentes de Seguridad.
  • Se comunicará con usted cuando el análisis de la vulnerabilidad haya pasado por cada etapa de revisión.
  • Acreditarle después de que la vulnerabilidad se haya validado y resuelto, si así lo desea.
• Si se confirma la vulnerabilidad y Senseonics considera que afecta a la seguridad del paciente, trabajaremos con celeridad para desarrollar una resolución y tomar las medidas oportunas.
• Cuando sea necesario, Senseonics podrá solicitar la ayuda de un tercero neutral para la resolución de la consulta.

Nota: Todos los aspectos de esta política están sujetos a cambios sin previo aviso, así como a excepciones en casos concretos.

REF-0517 Rev 2 - ES

Samordnad policy för upplysning om sårbarheter

Innehållsförteckning

1 Syfte och mål
2 Referenser
3 Inledning
4 Omfattning
5 Rapportera en sårbarhet
6 Rapporteringskrav
7 Kriterier för preferenser, prioritering och acceptans

1. Syfte och mål

Cybersäkerhetsriskerna utvecklas i takt med att tekniken utvecklas under en enhets hela livscykel. Syftet med denna policy är att beskriva hur Senseonics tar emot sårbarhetsrapporter om sina produkter. Detta dokument (Introduktion till och med avsnitt 7) kommer att visas på Eversense-produktens webbplats i USA.

2. Referenser

Eversense AP Vulnerability Management Plan, PLN-0537

Eversense 365 Vulnerability Management Plan, PLN-0608

Mall för formulär för sårbarhetsrapport, TEMP-0078

3. Inledning

Senseonics erkänner den viktiga roll som forskare inom säkerhetsbranschen spelar för att främja säkra designmetoder och minska säkerhetsriskerna inom den medicintekniska industrin. Andra potentiella källor till rapporter inkluderar, men är inte begränsade till, kunder, tredjepartsleverantörer och andra som kan vilja rapportera en sårbarhet. Syftet med denna policy är att beskriva hur Senseonics tar emot sårbarhetsrapporter om sina produkter. Senseonics kommer inte att vidta rättsliga åtgärder mot personer som lämnar in rapporter genom vår samordnade process för sårbarhetsrapportering och ingår ett juridiskt avtal med oss.

4. Omfattning

Tillämpningsområdet för denna policy omfattar medicintekniska produkter, programvara som medicinteknisk produkt och mobila medicinska applikationer som tillhandahålls av Senseonics.

Denna policy är inte avsedd att ge teknisk support, felsökning eller annan information om våra produkter, eller för rapportering av negativa händelser eller klagomål på produktkvalitet. För teknisk support och kundsupport avseende själva Eversense CGM-produkten kan du skicka e-post till support@eversensediabetes.com.

5. Rapportera en sårbarhet

Du kan rapportera en potentiell sårbarhet genom att skicka e-post till security@eversensediabetes.com. Inkludera den information som krävs i det e-postmeddelande du skickar. Genom att skicka e-postmeddelandet samtycker du till att följa de regler som beskrivs nedan och bekräftar att Senseonics (eller dess företrädare) kan använda alla data eller information som du tillhandahåller utan begränsning. Ditt inlämnande ger dig inga rättigheter enligt Senseonics immateriella rättigheter eller skapar några skyldigheter för Senseonics.

6. Rapporteringskrav

Säkerhetsforskare måste följa följande förutsättningar under hela forsknings- och upplysningsprocessen, inklusive inledande forskning och testning:

• Följa alla tillämpliga lagar och förordningar där du är verksam och där Senseonics-produkten görs tillgänglig
• Använd inte en sårbarhet för att vidta andra åtgärder än att bevisa att den finns
• Utnyttja inte en sårbarhet för att extrahera känsliga data från produkten, skapa en bakdörr eller införa ytterligare sårbarheter för framtida användning.
• Inkludera aldrig känsliga uppgifter (t.ex. identifierbara patientuppgifter) i e-postmeddelandets brödtext eller
  i några bilagor.
• Delta aldrig i forskning eller testning av produkter om det finns risk för patientskada, inklusive att produkten inte kan användas av patienten
• Testa aldrig produkter eller nätverksinfrastruktur i kliniska eller aktiva miljöer där de används för någon form av patientvård eller övervakning, eller där de oavsiktligt skulle kunna användas på ett sådant sätt.
• Skaffa skriftligt tillstånd från ägaren till Senseonics-produkten innan du utför några tester för att säkerställa att omfattningen är tydligt definierad och överenskommen.
• Lämna inte ut detaljer om sårbarheten till allmänheten innan en ömsesidigt överenskommen tidsram med Senseonics
  har löpt ut
• Arbeta inte utanför den omfattning som beskrivs i detta dokument
• Förse Senseonics med information om kommunikation till tillsynsmyndigheter eller andra tredje parter om upptäckta sårbarheter, utan dröjsmål
• All information som du lämnar betraktas som icke-proprietär och icke-konfidentiell.

7. Kriterier för preferenser, prioritering och acceptans

Vi begär och förväntar oss följande i din rapport:

• Rapporterna ska skrivas på engelska.
• Viktig information, inklusive plats för produkten, exakt modell och serienummer, programvaruversion, metod som använts för att få tag på systemet.
• Koncepttestkod för att bättre rusta oss för triagering.
• All information om hur du upptäckte sårbarheten, konsekvenserna och eventuella åtgärder.
• Eventuell avsikt att upplysa

Obs! Rapporter som endast innehåller utdata från automatiserade verktyg, t.ex. kraschdumpar, kan få lägre prioritet.

Vad du kan förvänta dig av Senseonics:

• Bekräftelse på ditt meddelande inom fem (5) arbetsdagar
• Under den inledande bedömningen och triageringen kan en medlem av Senseonics team för hantering av säkerhetsincidenter kontakta dig angående följande:
  • Kompletterande information
  • Kommunikation av förväntad process och tidslinje eller
  • Meddela dig att den rapporterade sårbarheten inte accepteras i programmet på grund av att den inte uppfyller programkraven eller ger tillräckligt med detaljer
• När tillräcklig information har samlats in och rapporten har godkänts, kommer Senseonics att:
  • utreda med relevanta medlemmar av teamet för hantering av säkerhetsincidenter,
  • kommunicera med dig när sårbarhetsanalysen har genomgått varje steg i granskningen,
  • kreditera dig efter att sårbarheten har validerats och åtgärdats, om du så önskar.
• Om sårbarheten bekräftas och Senseonics bedömer att den påverkar patientsäkerheten, kommer vi omedelbart att ta fram en lösning och vidta lämpliga åtgärder.
• Vid behov kan Senseonics begära att en neutral tredje part hjälper till att lösa frågan.

Obs! Alla aspekter av denna policy kan komma att ändras utan föregående meddelande, liksom undantag från fall till fall.

REF-0517 Rev 2 - SE

German French Italian

Richtlinie zur koordinierten Offenlegung von Schwachstellen

Inhalt

1 Zweck und Zielsetzung
2 Referenzen
3 Einleitung
4 Geltungsbereich
5 So melden Sie eine Schwachstelle
6 Meldevoraussetzungen
7 Präferenz, Priorisierung und Akzeptanzkriterien

1. Zweck und Zielsetzung

Die Risiken für die Cybersicherheit entwickeln sich mit der technologischen Entwicklung während des Lebenszyklus eines Geräts weiter. Der Zweck dieser Richtlinie besteht darin, darzulegen, wie Senseonics mit Meldungen über Schwachstellen in seinen Produkten umgeht. Dieses Dokument (Einleitung bis Abschnitt 7) wird auf der US-Eversense-Produktwebsite veröffentlicht.

2. Referenzen

Eversense AP Vulnerability Management Plan (Plan zum Umgang mit Schwachstellen), PLN-0537

Eversense 365 Vulnerability Management Plan, PLN-0608

Vulnerability Report Form Template (Formularvorlage zur Meldung von Schwachstellen), TEMP-0078

3. Einleitung

Senseonics ist bewusst, dass Forscher in der Sicherheitsgemeinschaft zur Förderung sicherer Entwurfspraktiken und der Minderung von Sicherheitsrisiken in der Medizinprodukteindustrie eine wichtige Rolle spielen. Andere potenzielle Meldequellen sind unter anderem Kunden, Drittanbieter und andere, die eine Schwachstelle melden möchten. Der Zweck dieser Richtlinie besteht darin, darzulegen, wie Senseonics mit Meldungen über Schwachstellen in seinen Produkten umgeht. Senseonics wird keine rechtlichen Schritte gegen Personen einleiten, die im Rahmen unseres koordinierten Verfahrens zur Offenlegung von Schwachstellen Meldungen einreichen und eine rechtliche Vereinbarung mit uns eingehen.

4. Geltungsbereich

Der Geltungsbereich dieser Richtlinie umfasst Medizinprodukte, Software als Medizinprodukt und mobile medizinische Anwendungen, die von Senseonics bereitgestellt werden.

Diese Richtlinie dient nicht dazu, technischen Support, Fehlerbehebung oder andere Informationen zu unseren Produkten bereitzustellen oder unerwünschte Ereignisse oder Beschwerden bezüglich der Produktqualität zu melden. Für technischen und Kundensupport bezüglich des Eversense CGM-Produkts selbst, senden Sie bitte eine E-Mail an support@eversensediabetes.com.

5. So melden Sie eine Schwachstelle

Um eine potenzielle Schwachstelle zu melden, senden Sie eine E-Mail an security@eversensediabetes.com. Bitte geben Sie in
der E-Mail die erforderlichen Informationen an. Mit dem Absenden der E-Mail erklären Sie sich mit den nachstehenden Regeln einverstanden und erkennen an, dass Senseonics (oder seine Beauftragten) alle von Ihnen zur Verfügung gestellten Daten oder Informationen uneingeschränkt verwenden können. Ihre Meldung gewährt Ihnen keine Rechte am geistigen Eigentum von Senseonics und begründet keine Verpflichtungen für Senseonics.

6. Meldevoraussetzungen

Sicherheitsforscher müssen während des gesamten Forschungs- und Offenlegungsprozesses, einschließlich der anfänglichen Forschung und Tests, die folgenden Voraussetzungen erfüllen:

• Alle geltenden Gesetze und Vorschriften Ihres Standorts und des Standorts, an dem das Senseonics-Produkt zur Verfügung gestellt wird, werden eingehalten
• Nutzen Sie eine Schwachstelle nicht für andere Maßnahmen als den Nachweis ihrer Existenz.
• Nutzen Sie eine Schwachstelle nicht, um sensible Daten aus dem Produkt zu entfernen oder eine Hintertür in das
  Produkt einzubauen oder eine weitere Schwachstelle in das Produkt einzubringen, um es anschließend zu verwenden.
• Fügen Sie niemals sensible Daten (z. B. identifizierbare Patientendaten) in den Text der E-Mail oder in Anhänge ein
• Führen Sie niemals Forschungs- oder Testarbeiten an Produkten durch, wenn die Gefahr besteht, dass der Patient zu Schaden kommt, einschließlich der Gefahr, dass das Produkt vom Patienten nicht verwendet werden kann
• Testen Sie niemals Produkte oder Netzwerkinfrastrukturen in klinischen oder aktiven Umgebungen, in denen die Produkte für irgendeine Art von Patientenversorgung oder -überwachung verwendet werden, oder wenn die Produkte versehentlich auf diese Weise verwendet werden könnten
• Vergewissern Sie sich, dass Sie vor Beginn der Tests die schriftliche Genehmigung des Eigentümers des Senseonics-Produkts eingeholt haben, um sicherzustellen, dass der Anwendungsbereich eindeutig ist
• Geben Sie keine Details über die Schwachstelle an die Öffentlichkeit weiter, bevor ein mit Senseonics vereinbarter Zeitrahmen abgelaufen ist
• Gehen Sie nicht außerhalb des in diesem Dokument beschriebenen Geltungsbereichs vor.
• Informieren Sie Senseonics unverzüglich über Einzelheiten der Kommunikation mit Aufsichtsbehörden oder anderen Dritten über entdeckte Schwachstellen
• Alle von Ihnen übermittelten Informationen werden als nicht urheberrechtlich geschützt und nicht vertraulich betrachtet.

7. Präferenz, Priorisierung und Akzeptanzkriterien

Wir fordern und erwarten in Ihrer Meldung Folgendes:

• Die Meldungen sollten in englischer Sprache verfasst sein.
• Wesentliche Angaben, einschließlich des Standorts des Produkts, der genauen Modell- und Seriennummer,
  der Softwareversion und der Methode zur Beschaffung des Systems.
• Proof-of-Concept-Code, um eine bessere Ersteinschätzung vornehmen zu können.
• Alle Informationen darüber, wie Sie die Schwachstelle entdeckt haben, die Auswirkungen und alle
  möglichen Abhilfemaßnahmen.
• Jegliche Absicht einer öffentlichen Bekanntgabe

Hinweis: Meldungen, die nur die Ausgaben automatisierter Tools wie Crash Dumps enthalten, können eine niedrigere Priorität erhalten.

Was Sie von Senseonics erwarten können:

• Bestätigung Ihrer Nachricht innerhalb von fünf (5) Werktagen
• Während der anfänglichen Bewertung und Ersteinschätzung kann sich ein Mitglied des Senseonics Security Incident Response Teams mit Ihnen in Verbindung setzen:
  • Zusätzliche Informationen
  • Mitteilung des erwarteten Prozesses und des Zeitplans oder
  • Benachrichtigung an Sie, dass die gemeldete Schwachstelle nicht in das Programm aufgenommen wird, weil sie die Programmanforderungen nicht erfüllt oder nicht genügend Details enthält
• Sobald genügend Informationen zusammengetragen wurden und die Meldung angenommen wurde, wird Senseonics:
  • Mit den zuständigen Mitgliedern des Security Incident Response Teams eine Untersuchung vornehmen
  • Sie informieren, wenn die Schwachstellenanalyse die einzelnen Prüfungsphasen durchlaufen hat.
  • Ihnen eine Gutschrift zukommen lassen, nachdem die Schwachstelle überprüft und behoben wurde, wenn Sie dies wünschen
• Wenn die Schwachstelle bestätigt wird und Senseonics der Ansicht ist, dass sie die Patientensicherheit beeinträchtigt, werden wir umgehend an der Entwicklung einer Lösung arbeiten und entsprechende Maßnahmen ergreifen.
• Erforderlichenfalls kann Senseonics einen neutralen Dritten um Unterstützung bei der Lösung der Anfrage bitten.

Hinweis: Alle Aspekte dieser Richtlinie können ohne Vorankündigung geändert werden, und es können von Fall zu Fall Ausnahmen gemacht werden.

REF-0517 Rev 2 - DE

---

Politique de divulgation coordonnée des failles de sécurité

Table des matières

1  Objectifs
2 Références
3 Introduction
4 Champ d’application
5 Comment signaler une faille de sécurité
6 Conditions applicables aux signalements
7 Préférence, priorisation et critères d’acceptation

1. Objectifs

Les risques de cybersécurité évoluent avec la technologie tout au long du cycle de vie d’un dispositif. L’objectif de cette politique est de définir comment Senseonics acceptera les rapports concernant les failles de sécurité de ses produits. Ce document
(de l’introduction à la section 7) sera affiché sur le site Internet des produits Eversense aux États-Unis.

2. Références

Eversense AP Vulnerability Management Plan (Plan de gestion des failles de sécurité d’Eversense AP), PLN-0537

Eversense 365 Vulnerability Management Plan (Plan de gestion des failles de sécurité d’Eversense 365), PLN-0608

Vulnerability Report Form Template (Modèle de formulaire de signalement des failles de sécurité), TEMP-0078

3. Introduction

Senseonics reconnaît le rôle important des chercheurs au sein de la communauté de la sécurité afin de promouvoir des pratiques de conception sans risque et la réduction des risques dans le secteur des dispositifs médicaux. D’autres sources potentielles de signalements incluent, sans s’y limiter, les clients, les fournisseurs tiers et d’autres acteurs souhaitant signaler une faille de sécurité. L’objectif de cette politique est de définir comment Senseonics acceptera les rapports concernant les failles de sécurité de ses produits. Senseonics n’engagera pas de procédure juridique contre toute personne qui réaliserait un signalement dans le cadre de notre procédure de divulgation coordonnée des failles de sécurité et qui passerait un accord juridique avec nous.

4. Champ d’application

Le champ d’application de cette politique inclut les dispositifs médicaux, les logiciels utilisés comme des dispositifs médicaux et les applications médicales mobiles fournis par Senseonics.

Cette politique n’est pas destinée à assurer une assistance technique, à dépanner ou à apporter d’autres informations sur nos produits, ni à signaler des effets indésirables ou des réclamations concernant la qualité des produits. Pour l’assistance technique et le support clientèle concernant le produit MGC Eversense lui-même, veuillez écrire à l’adresse support@eversensediabetes.com.

5. Comment signaler une faille de sécurité

Pour signaler une faille de sécurité potentielle, veuillez écrire à l’adresse security@eversensediabetes.com. Veuillez inclure
les informations requises dans votre e-mail. En envoyant cet e-mail, vous acceptez de respecter les règles définies ci-dessous,
et vous reconnaissez que Senseonics (ou les entités désignées par Senseonics) peut utiliser toute donnée ou information que vous fournissez sans restriction. Cet envoi ne vous octroie aucun droit dans le cadre de la propriété intellectuelle de Senseonics et ne crée aucune obligation pour Senseonics.

6. Conditions applicables aux signalements

Les chercheurs en sécurité doivent respecter les conditions suivantes tout au long du processus de recherche et de divulgation,
y compris la phase initiale de recherche et de tests :

• Respecter toutes les lois et réglementations applicables là où vous vous trouvez et là où le produit Senseonics est proposé
• Ne pas utiliser une faille de sécurité pour autre chose que pour prouver son existence
• Ne pas utiliser une faille de sécurité pour retirer des données sensibles du produit, pour créer une voie d’entrée ou pour introduire une nouvelle faille de sécurité dans un produit afin de l’exploiter ultérieurement
• Ne jamais inclure de données sensibles (ex : données patient identifiables) dans le corps de l’e-mail ou dans une
  pièce jointe
• Ne jamais se lancer dans des recherches ni dans des tests des produits s’il existe un risque pour le patient, y compris le risque de rendre le dispositif inutilisable par le patient
• Ne jamais tester des produits ni l’infrastructure réseau dans des environnements cliniques ou actifs où sont utilisés
  les produits pour tout type de soins ou de surveillance du patient, ou si les produits pourraient être utilisés ainsi
  par inadvertance
• S’assurer d’avoir obtenu l’autorisation écrite du propriétaire du produit Senseonics avant tout test afin de s’assurer de la clarté du champ d’application
• Ne dévoiler publiquement aucun détail concernant la faille de sécurité avant la fin d’un délai convenu avec Senseonics
• Ne pas agir au-delà du champ d’application décrit dans ce document
• Fournir sans délai à Senseonics les détails de toute communication avec les autorités de réglementation ou avec d’autres parties concernant toute faille de sécurité découverte
• Toutes les informations que vous fournissez sont considérées comme non exclusives et non confidentielles.

7. Préférence, priorisation et critères d’acceptation

Dans votre signalement, nous demandons et attendons que vous incluiez et respectiez les conditions suivantes :

• Les signalements doivent être rédigés en anglais.
• Détails essentiels, tels que l’emplacement du produit, le modèle précis et le numéro de série, la révision du logiciel et la méthode utilisée pour obtenir le système.
• Code de démonstration de concept pour nous aider à catégoriser le signalement.
• Toutes les informations précisant comment vous avez découvert la faille de sécurité, l’impact et tout remède potentiel.
• Toute intention de divulgation publique.

Remarque : les signalements qui se limitent aux données produites par un outil automatisé, telles que des rapports de plantage, pourront être traités avec un niveau de priorité inférieur.

Ce que vous pouvez attendre de la part de Senseonics :

• Accusé de réception de votre message dans un délai de cinq (5) jours ouvrables
• Pendant la phase initiale d’évaluation et de catégorisation, un membre de l’équipe Senseonics de réponse aux incidents de sécurité peut vous contacter pour :
  • Demander des informations complémentaires
  • Vous communiquer le processus et le délai prévus ou
  • Vous signaler que la faille de sécurité signalée n’est pas acceptée dans ce programme car elle n’en respecte pas les conditions, ou parce que vous n’avez pas fourni suffisamment de détails
• Après avoir recueilli suffisamment d’informations et accepté le signalement, Senseonics :
  • Procédera à des investigations avec les membres concernés de l’équipe de réponse aux incidents de sécurité
  • Vous recontactera lorsque l’analyse de la faille de sécurité aura passé toutes les étapes de contrôle
  • Vous citera si vous le souhaitez une fois que la faille de sécurité aura été validée et résolue
• Si la faille de sécurité est confirmée et que Senseonics estime qu’elle a une incidence sur la sécurité des patients,
  nous agirons rapidement pour développer une solution et prendre des mesures appropriées.
• Si nécessaire, Senseonics peut demander à un tiers neutre de l’aider à trouver une solution à la demande.

Remarque : tous les aspects de cette politique sont susceptibles d’être modifiés sans préavis, ainsi qu’au cas par cas.

REF-0517 Rev 2 - FR

---

Politica di divulgazione coordinata delle vulnerabilità

Indice

1 Scopo e obiettivo
2 Riferimenti
3 Introduzione
4 Ambito
5 Come segnalare una vulnerabilità
6 Requisiti di segnalazione
7 Criteri di preferenza, priorità e accettazione

1. Scopo e obiettivo

I rischi per la sicurezza informatica cambiano con l’evoluzione tecnologica durante il ciclo di vita di un dispositivo. Lo scopo della presente politica è descrivere le modalità con cui Senseonics accetterà eventuali segnalazioni di vulnerabilità relative ai propri prodotti. Il presente documento (dall’Introduzione alla Sezione 7) sarà pubblicato sul sito web statunitense dedicato ai prodotti Eversense.

2. Riferimenti

Eversense AP Vulnerability Management Plan, PLN-0537

Eversense 365 Vulnerability Management Plan, PLN-0608

Vulnerability Report Form Template, TEMP-0078

3. Introduzione

Senseonics riconosce il ruolo fondamentale svolto dai ricercatori nel settore della sicurezza per promuovere pratiche di progettazione sicure e la mitigazione dei rischi per la sicurezza nell’industria dei dispositivi medici. Altre potenziali fonti di segnalazioni includono, a titolo esemplificativo ma non esaustivo, clienti, fornitori terzi e altri soggetti che desiderano segnalare una vulnerabilità. Lo scopo della presente politica è descrivere le modalità con cui Senseonics accetterà eventuali segnalazioni di vulnerabilità relative ai propri prodotti. Senseonics non intraprenderà alcuna azione legale nei confronti delle persone che inviano segnalazioni tramite il nostro Processo di divulgazione coordinata delle vulnerabilità e stipulano un accordo legale con noi.

4. Ambito

L’ambito di applicazione della presente politica comprende i dispositivi medici, il software come dispositivo medico e le applicazioni mediche mobili forniti da Senseonics.

La presente politica non è destinata a fornire assistenza tecnica, risoluzione di problemi o altre informazioni sui nostri prodotti, né a segnalare eventi avversi o reclami relativi alla qualità dei prodotti. Per assistenza tecnica e assistenza clienti relative al prodotto CGM Eversense, inviare un’e-mail all’indirizzo support@eversensediabetes.com.

5. Come segnalare una vulnerabilità

Per segnalare una potenziale vulnerabilità, inviare un’e-mail all’indirizzo security@eversensediabetes.com. Si prega di includere tutte le informazioni necessarie nell’e-mail inviata. Con l’invio dell’e-mail, l’utente accetta di rispettare le norme riportate di seguito e riconosce che Senseonics (o le parti da essa incaricate) può utilizzare senza restrizioni tutti i dati o le informazioni forniti. L’invio dei dati non conferisce all’utente alcun diritto sulla proprietà intellettuale di Senseonics né crea alcun obbligo
per Senseonics.

6. Requisiti di segnalazione

I ricercatori nel settore della sicurezza devono rispettare i seguenti prerequisiti durante l’intero processo di ricerca e divulgazione, comprese la ricerca iniziale e l’effettuazione di test:

• Rispettare tutte le leggi e i regolamenti applicabili del proprio luogo di residenza e del luogo in cui il prodotto Senseonics è reso disponibile
• Non utilizzare una vulnerabilità per intraprendere azioni con scopi diversi dalla dimostrazione della sua esistenza
• Non utilizzare una vulnerabilità per rimuovere dati sensibili dal prodotto, creare “backdoor” all’interno di esso o introdurre ulteriori vulnerabilità in un prodotto per un uso successivo
• Non includere mai dati sensibili (ad esempio, dati identificativi dei pazienti) nel corpo dell’e-mail o in eventuali allegati
• Non intraprendere mai attività di ricerca o effettuare test sui prodotti se sussiste il rischio di causare danni al paziente, compresa l’impossibilità di utilizzare il dispositivo da parte del paziente
• Non testare mai i prodotti o l’infrastruttura di rete in ambienti clinici o attivi in cui i prodotti vengono utilizzati per qualsiasi tipo di assistenza o monitoraggio dei pazienti, o se i prodotti potrebbero inavvertitamente essere utilizzati
  in tale modo
• Assicurarsi di aver ottenuto il permesso scritto dal proprietario del prodotto Senseonics prima dell’effettuazione
  di qualsiasi test, al fine di garantire che l’ambito di applicazione sia chiaro
• Non divulgare al pubblico dettagli relativi alla vulnerabilità prima della scadenza di un periodo concordato con Senseonics
• Non utilizzare il prodotto al di fuori dell’ambito descritto nel presente documento
• Fornire tempestivamente a Senseonics i dettagli delle comunicazioni inviate alle autorità di regolamentazione o ad altre terze parti in merito a qualsiasi vulnerabilità rilevata
• Tutte le informazioni fornite dall’utente sono considerate non proprietarie e non riservate.

7. Criteri di preferenza, priorità e accettazione

Nella segnalazione, richiediamo e ci aspettiamo quanto segue:

• Le segnalazioni devono essere scritte in lingua inglese.
• Informazioni essenziali, tra cui l’ubicazione del prodotto, il modello esatto e il numero di serie, la versione software, il metodo utilizzato per ottenere il sistema.
• Il codice proof-of-concept consente un migliore triage.
• Tutte le informazioni relative a come è stata individuata la vulnerabilità, il suo impatto e qualsiasi potenziale soluzione.
• Eventuali intenzioni di divulgazione pubblica.

Nota: le segnalazioni che includono solo risultati generati da strumenti automatici, come i dump di arresto anomalo, potrebbero ricevere una priorità inferiore.

Cosa aspettarsi da Senseonics:

• Ricezione della conferma di ricezione del messaggio entro cinque (5) giorni lavorativi
• Durante la valutazione iniziale e il triage, un membro del Team di risposta agli incidenti di sicurezza di Senseonics potrebbe mettersi in contatto per:
  • Informazioni aggiuntive
  • Comunicazione del processo e delle tempistiche previsti oppure
  • Notifica che la vulnerabilità segnalata non è stata accettata nel programma in quanto non soddisfa i requisiti del programma oppure non sono stati forniti dettagli sufficienti
• Una volta raccolte informazioni sufficienti e accettata la segnalazione, Senseonics provvederà a:
  • Effettuare un’indagine con i membri competenti del Team di risposta agli incidenti di sicurezza
  • Comunicare all’utente il completamento di ciascuna fase della revisione dell’analisi delle vulnerabilità
  • Attribuire all’utente il merito della segnalazione dopo che la vulnerabilità è stata verificata e risolta,
    se lo desidera
• Se la vulnerabilità viene confermata e Senseonics ritiene che possa compromettere la sicurezza dei pazienti, ci impegneremo a sviluppare rapidamente una soluzione e ad adottare le misure appropriate
• Secondo necessità, Senseonics potrà richiedere l’assistenza di una terza parte neutrale per assistere nella risoluzione della questione.

Nota: tutti gli aspetti della presente politica sono soggetti a modifiche senza preavviso, nonché a eccezioni valutate caso per caso.

REF-0517 Rev 2 - IT