Seguridad de nuestras tecnologías

Seguridad de nuestras tecnologías

La seguridad y protección de nuestras tecnologías en salud es un tema que nos tomamos en serio.

Boletines de seguridad del producto e información adicional

  • Boletines de seguridad del producto

ExactaMix - ICS Advisory (ICMSA-20-170-01)

Más información>

Prismaflex - ICS Advisory (ICSMA-20-170-02)

Más información>

PrisMax - ICS Advisory (ICSMA-20-170-02)

Más información>

Phoenix - ICS Advisory (ICSMA-20-170-03)

Más información>

Spectrum V6 y V8 - ICS Advisory (ICSMA-20-170-04)

Más información>

Vulnerabilidades de la pila TCP / IP de Treck (ICSA-20-168-01)

Más información>

Vulnerabilidades críticas en los sistemas operativos Microsoft Windows (AA20-014A)

Más información >

Vulnerabilidades de SweynTooth: sin impacto en los productos Baxter

Más información >

ExactaMix: múltiples vulnerabilidades de ejecución remota de código de SMB de Windows

Más información >

ExactaMix - Aviso de seguridad de Microsoft para CVE-2019-0708 "Servicios de escritorio remoto, vulnerabilidad de ejecución remota de código".

Más información >

Vulnerabilidades del sistema de infusión Sigma Spectrum - ICS Advisory (ICSA-15-181-01)

Más información >

IPnet y VxWorks Urgent / 11 Advisory - Sin impacto en los productos Baxter

Más información >

 

  • Solicitar un documento

Para solicitar los documentos de Baxter enumerados a continuación, haga clic y envíe su solicitud junto con su información de contacto comercial (es decir, su nombre, función, empresa, dirección, número de teléfono) o comuníquese con su representante de servicio de Baxter.

Solicitud por correo electrónico de la Guía de seguridad cibernética ExactaMix

Email de solicitud: [email protected]

  • Preguntas de seguridad de las tecnologías en salud

Los clientes que tengan una pregunta específica sobre cualquier producto Baxter pueden comunicarse con [email protected] o contactar a su representante de servicio Baxter.

  • Política de Privacidad Global

Baxter ha establecido una Política de Privacidad Global para reflejar los principios anteriores que son una parte clave de la cultura y las operaciones de la compañía Baxter.

 

Team Collaboration

Proceso coordinado de divulgación de vulnerabilidades de Baxter

La misión de Baxter es salvar y sostener vidas. Fundamental para nuestra misión y estrategia, estamos comprometidos a diseñar, fabricar y mantener dispositivos médicos seguros y protegidos. También sabemos que las amenazas y vulnerabilidades de ciberseguridad cambian rápidamente. Por lo tanto, nos comprometemos a trabajar con la comunidad de investigadores de seguridad para verificar y responder a vulnerabilidades legítimas y solicitar a los investigadores que participen en nuestro proceso de informes responsables que se describe a continuación.

 

Alcance

Baxter creó este proceso coordinado de divulgación para que los investigadores de seguridad informática informen sobre posibles vulnerabilidades relacionadas con los productos disponibles comercialmente de Baxter. No está destinado a la información de soporte técnico sobre productos Baxter o para informar eventos adversos o quejas de calidad del producto. Para todos estos otros asuntos, visite la página de contacto y busque el apropiado: https://www.baxter.com.co/es/contactenos

 

Cómo enviar

Si ha descubierto una posible vulnerabilidad relacionada con un producto Baxter, le pedimos que se ponga en contacto con nosotros a través del correo [email protected]. Encripte su correo electrónico utilizando nuestra clave pública GPG (GnuPG).

Por favor, incluya la siguiente información:

  • Información de contacto para que podamos comunicarnos con usted. (nombre, organización, dirección de correo electrónico y número de teléfono).
  • Si cree que varios proveedores se ven afectados.
  • Cuándo y dónde se descubrió la vulnerabilidad.
  • Descripción técnica de la vulnerabilidad y el entorno en el que se descubrió.
  • Nombre, versión y detalles de configuración del producto afectado.
  • Impacto específico y cómo imagina que esta vulnerabilidad podría usarse en un ataque.
  • Información sobre las herramientas y técnicas que utilizó para descubrir esta vulnerabilidad.
  • Cualquier prueba de concepto o código de explotación.
  • Cualquier indicio de la vulnerabilidad que se está explotando.
  • Divulgación previa o prevista de información de vulnerabilidad a otras partes (por ejemplo, reguladores, coordinadores de vulnerabilidad, proveedores).

No incluya ninguna información personal, como información sensible / de salud.

 

Lo que hará Baxter

  • Acusaremos recibo del informe dentro de los 7 días.
  • Escalaremos el informe al equipo apropiado para verificar y reproducir la vulnerabilidad reportada. Puede ser contactado durante este tiempo para apoyar nuestros esfuerzos de verificación.
  • Evaluaremos la vulnerabilidad reportada y realizaremos un análisis de riesgos para determinar las acciones apropiadas a tomar.
  • Si Baxter determina que el problema justifica la divulgación, publicaremos una notificación en esta página y la informaremos a las partes externas apropiadas, como los Equipos de Respuesta a Emergencias Cibernéticas (CERT) y las Organizaciones de Análisis e Intercambio de Información (ISAO).

 

Información adicional para investigadores de seguridad:

Solo realice pruebas en entornos seguros que cumplan con lo siguiente:

  • Todas las leyes y regulaciones.
  • Evitar cualquier prueba que pueda dañar a los pacientes, causar un problema de privacidad o dañar el equipo.
  • Evitar las pruebas en dispositivos en uso o software que se encuentra en un entorno de producción.
  • Evitar acciones tomadas para explotar cualquier vulnerabilidad
  • Evitar acciones que puedan hacer cambios en un producto o sistema después de completar la prueba.

 

Aviso:

Al enviar información a través de este proceso, usted acepta que se considerará no propietaria y no confidencial, y que Baxter puede usar la información de cualquier manera, total o parcial, sin ninguna restricción. También acepta que enviar dicha información no crea ningún derecho para usted ni ninguna obligación para Baxter.

 

Equipo dedicado

Tenemos un equipo dedicado que está comprometido y apasionado por garantizar que nuestros productos sean seguros para su uso clínico previsto. Hemos desarrollado nuestros productos con controles de ciberseguridad integrados en el diseño, utilizando un Marco de Control de Ciberseguridad Común para Dispositivos Médicos que tiene en cuenta los estándares de orientación de líderes en la industria, regulaciones y documentos. Si bien hemos centrado los recursos en el desarrollo de productos seguros, sabemos que el panorama de amenazas de ciberseguridad cambia todos los días. Baxter se enorgullece de ser receptivo y transparente con nuestros clientes sobre la ciberseguridad.

Estamos orgullosos de tener un equipo global de profesionales de seguridad cibernética que se dedican a la seguridad del producto. Los miembros de nuestro equipo son apasionados de la seguridad y se preocupan por la seguridad de nuestros pacientes. Hay recursos dedicados que respaldan tanto el desarrollo seguro de nuevos productos como el mantenimiento sostenido de nuestros dispositivos desplegados. Sabemos que la ciberseguridad es un campo dinámico y estamos comprometidos a proteger a nuestros pacientes durante todo el ciclo de vida del producto.

Nos enorgullece contar con Oficiales de Seguridad de la Información Comercial (BISO, por sus siglas en inglés) dedicados para cada una de nuestras unidades de negocios. Los BISO aportan una gran experiencia y conocimiento, para servir como un asesor de confianza para nuestros líderes empresariales y de productos. Esto permite que la ciberseguridad se integre en todo lo que hacemos. También hay ingenieros dedicados en ciberseguridad que respaldan productos específicos durante su desarrollo para cumplir con los requisitos específicos de seguridad del producto. Por último, pero no menos importante, tenemos recursos dedicados que realizan procedimientos exhaustivos de gestión de riesgos de ciberseguridad que son consistentes con nuestro alto nivel de gestión de riesgos de productos.

 

Diseño de ciberseguridad

Nos enorgullece haber desarrollado un Marco de Trabajo de Controles Comunes de Cberseguridad para Dispositivos Médicos (Cybersecurity Common Controls Framework for Medical Devices, C3FMD). El objetivo del C3FMD es proporcionar un marco de controles de ciberseguridad sistemáticos y comunes para abordar las inquietudes sobre la seguridad del diseño y la ingeniería de los dispositivos médicos, que está basado en los estándares y mejores prácticas de la industria, es exhaustivo en su cobertura de la seguridad y responde a las demandas de un panorama de ciberseguridad en rápida evolución. En el C3FMD, la ciberseguridad está impulsada en primer lugar y por, sobre todo, por las inquietudes sobre la salud y la seguridad de los pacientes.

Es fundamental para garantizar que todos los dispositivos médicos que impactan la salud y la seguridad de los pacientes sean operados, instalados y gestionados de manera segura y fiable. Este marco de trabajo garantiza que nuestros productos se desarrollen sistemáticamente con capacidades de ciberseguridad integradas en el dispositivo médico. El C3FMD cubre las siguientes categorías clave de controles: autenticación, autorización, controles de acceso, auditoría y criptografía. Este marco de trabajo es un conjunto prescrito de controles de ciberseguridad de referencia que mejoran la postura frente a la seguridad y reducen el riesgo de los dispositivos médicos objetivo de verse comprometidos.

 

Receptividad y transparencia

Estamos comprometidos con proporcionar información transparente a nuestros clientes sobre la seguridad de los dispositivos médicos. En una iniciativa de compartir información, proporcionamos una Declaración de Divulgación del Fabricante para la Seguridad de los Dispositivos Médicos (Manufacturer Disclosure Statement for Medical Device Security, MDS2), de la Asociación Nacional de Fabricantes Eléctricos de EE. UU. y la Sociedad de Sistemas de Gestión e Información de la Atención Médica de EE. UU., que contiene características de diseño para ciberseguridad importantes, como las siguientes:

  • Controles de auditoría.
  • Autorización.
  • Respaldo de datos y recuperación ante desastres.
  • Detección/Protección de programa maligno (malware).
  • Solidificación de sistemas y aplicaciones.
  • Confidencialidad e integridad de transmisión.

Además de la información que se proporciona en la MDS2, brindamos información sobre ciberseguridad en nuestros manuales del usuario y comunicaciones con los clientes. Para más consultas, los clientes pueden trabajar libremente con sus representantes de ventas o servicios.

 

Alianzas

El ecosistema de atención médica es cada vez más complejo y está cada vez más interconectado. A fin de proteger a los pacientes y garantizar que nuestros productos sean seguros, toda la industria de la atención médica debe trabajar en estrecha colaboración. Para lograr una mayor seguridad, valoramos las relaciones y sociedades que se mantienen en todo el ecosistema de la atención médica. Estamos orgullosos de todos los expertos que conforman nuestro equipo de seguridad de los productos. Hay varias organizaciones con las que trabajamos para reunir y compartir ciberinformación, como las siguientes:

  • Centro Nacional de Análisis e Intercambio de Información sobre Salud de EE. UU. (National Health Information Sharing and Analysis Center, NH-ISAC).
  • Equipo de Respuesta ante Emergencias Cibernéticas de Sistemas de Control Industrial (Industrial Control Systems Cyber Emergency Response Team, ICS-CERT).
  • Asociación de Tecnología Médica Avanzada (AdvaMed)
  • Asociación para el Progreso de la Instrumentación Médica (Association for the Advancement of Medical Instrumentation, AAMI).
  • Red de Información sobre Seguridad Nacional de EE. UU. (Homeland Security Information Network, HSIN).
  • Consorcio para la Seguridad, la Protección y la Innovación de los Dispositivos Médicos (Medical Device Innovation, Safety, and Security Consortium, MDISS).
  • Consejo para el Intercambio de Información sobre Seguridad de Dispositivos Médicos (Medical Device Security Information Sharing Council, MDSISC).
  • Consorcio para la Innovación de los Dispositivos Médicos (Medical Device Innovation Consortium, MDIC).