La Política coordinada de divulgación de vulnerabilidades de Natus está diseñada para proporcionar transparencia a nuestros clientes proporcionándoles información y orientación para ayudarles a gestionar los riesgos de ciberseguridad. Animamos a los clientes y otras partes interesadas externas a colaborar en los planes de respuesta de tratamiento para las vulnerabilidades descubiertas en los productos Natus. El proceso de divulgación coordinada de vulnerabilidades consta de las cuatro fases siguientes:
- Descubrimiento: Se anima a los clientes de Natus, investigadores de seguridad y otras partes interesadas externas a informar de una vulnerabilidad potencial o descubierta, violación u otras señales e incidentes de ciberseguridad que afecten a un producto de Natus. Estas vulnerabilidades potenciales o descubiertas deben ser reportadas a Natus como una queja de servicio técnico siguiendo el proceso de gestión de las quejas de Natus. Natus acusará recibo de la señal notificada con prontitud una vez recibida de la fuente notificante.
- Clasificación y análisis: Natus trabaja con la fuente de notificación de posibles problemas y eventos de seguridad para investigar y verificar las vulnerabilidades notificadas. Si la vulnerabilidad es verificada y calificada para la planificación del tratamiento, Natus seguirá su procedimiento de respuesta a incidentes de seguridad de producto y gestión de vulnerabilidades para establecer planes efectivos de respuesta al tratamiento. Los plazos para el tratamiento y la divulgación deben comunicarse lo antes posible.
- Reparación o mitigación: La respuesta de tratamiento identificará las estrategias de reparación y/o mitigación para eliminar la vulnerabilidad o reducir el riesgo a un nivel aceptable. Cuando proceda, la respuesta al tratamiento incluirá comunicaciones de divulgación con coordinadores, grupos de intercambio de información y organismos reguladores.
- Divulgación de vulnerabilidades: Natus publica las divulgaciones de vulnerabilidades coordinadas en forma de aviso de seguridad del producto o boletín de seguridad del producto en el sitio web de Natus. Las notas de la versión y otras etiquetas del producto pueden utilizarse para revelar vulnerabilidades. En esta fase, Natus comparte la información sobre vulnerabilidad con los coordinadores y/u otras partes interesadas externas.