Einführung

Bei der Ypsomed AG haben Patientensicherheit und Produktsicherheit höchste Priorität. Diese Richtlinie zur Offenlegung von Schwachstellen soll Sicherheitsforschern klare Richtlinien für die Durchführung von Aktivitäten zur Aufdeckung von Schwachstellen an die Hand geben und unsere Präferenzen bei der Übermittlung entdeckter Schwachstellen an uns vermitteln.

In dieser Richtlinie wird beschrieben, welche Produkte, Systeme und Forschungsarten unter diese Richtlinie fallen und wie Sie uns Schwachstellenberichte übermitteln können. Wir ermutigen Sie, potenzielle Schwachstellen in unseren Produkten und Systemen zu melden, indem Sie diese Richtlinie befolgen.

Umfang

Diese Richtlinie gilt für die folgenden Systeme und Dienste:

  • SmartPilot YpsoMate Zusatzgerät
  • Companion Apps, die über das SDK von Ypsomed auf Android oder iOS mit dem SmartPilot verbunden sind
  • YDS Cloud-Dienste

Alle Produkte oder Systeme, die oben nicht ausdrücklich aufgeführt sind, sind vom Geltungsbereich ausgeschlossen und nicht zur Prüfung zugelassen. Darüber hinaus fallen Schwachstellen, die in Systemen unserer Lieferanten gefunden werden, nicht in den Geltungsbereich dieser Richtlinie und sollten direkt an den Lieferanten gemäß dessen Offenlegungsrichtlinien gemeldet werden.

Autorisierung

Wenn Sie sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie während Ihrer Sicherheitsrecherche einzuhalten, betrachten wir Ihre Recherche als genehmigt. Wir werden dann mit Ihnen zusammenarbeiten, um das Problem zu verstehen und es innerhalb der unten angegebenen Fristen zu lösen. Die Ypsomed AG unterstützt Ihre Forschungsaktivitäten, solange Sie die Richtlinien in dieser Richtlinie befolgen. Wenn Sie rechtliche Bedenken haben, senden Sie bitte eine E-Mail an pcs-yds@ypsomed.com.

Leitlinien

Im Rahmen dieser Politik begrüsst die Ypsomed AG Forschungsaktivitäten, an denen Sie teilnehmen:

  • Informieren Sie uns so schnell wie möglich, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdecken.
  • Halten Sie bei Ihrer Forschungstätigkeit alle geltenden Gesetze und Vorschriften ein.
  • Vermeiden Sie alle Handlungen, die Produkte oder Personen schädigen, die Benutzerfreundlichkeit beeinträchtigen, Produktionssysteme stören und Daten zerstören oder manipulieren könnten.
  • Verwenden Sie Exploits nur in dem Umfang, der notwendig ist, um das Vorhandensein einer Schwachstelle zu bestätigen. Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, dauerhaften Befehlszeilenzugriff zu erlangen oder den Exploit zu nutzen, um auf andere Systeme überzugreifen.
  • Geben Sie uns eine angemessene Frist, um das Problem zu lösen und einen einvernehmlichen Offenlegungsplan auszuarbeiten.

Sobald Sie festgestellt haben, dass eine Sicherheitslücke besteht oder Sie auf sensible Daten gestoßen sind (einschließlich personenbezogener Daten, finanzieller Daten oder geschützter Daten oder Geschäftsgeheimnisse einer Partei), müssen Sie Ihren Test abbrechen, uns unverzüglich benachrichtigen und dürfen keine Daten an Dritte weitergeben.

Die folgenden Handlungen sind ausdrücklich nicht erlaubt:

  • Denial-of-Service-Angriffe oder andere Angriffe, die den Zugang zu einem System oder Daten beeinträchtigen oder beschädigen.
  • Physische Angriffe auf Hardware.
  • Social Engineering (z. B. Phishing, Vishing) von Mitarbeitern oder Kunden
  • Alle anderen nicht-technischen Schwachstellenprüfungen.

Meldung von Schwachstellen

Wir akzeptieren Schwachstellenberichte über pcs-yds@ypsomed.com. Bitte verwenden Sie unseren öffentlichen PGP-Schlüssel, um Ihre Nachricht zu verschlüsseln.

Wir würden es vorziehen, wenn Ihre Berichte in englischer Sprache verfasst werden.

Was wir gerne von Ihnen sehen würden:

  • Kontaktinformationen.
  • Ausführliche Produkt- und Systeminformationen.
  • Beschreiben Sie den Ort, die System- und Netzwerkkonfiguration (Version der Geräte, Anwendungen, Betriebssysteme usw.), an dem die Schwachstelle entdeckt wurde, und die potenziellen Auswirkungen einer Ausnutzung. Fügen Sie ein Diagramm bei, wenn dies die Übersichtlichkeit erhöht.
  • Bieten Sie eine detaillierte Beschreibung der Schritte an, die erforderlich sind, um die Schwachstelle zu reproduzieren (Proof-of-Concept-Skripte oder Bildschirmfotos sind hilfreich).

Was Sie von uns erwarten können:

  • Innerhalb von sieben (7) Kalendertagen werden wir den Eingang Ihrer Meldung bestätigen.
  • Wir bestätigen Ihnen das Vorhandensein der Schwachstelle und informieren Sie so transparent wie möglich über die Schritte zur Behebung der Schwachstelle auf der Grundlage einer Risikobewertung, einschließlich der Probleme oder Herausforderungen, die eine Lösung verzögern könnten.
  • Wir werden einen offenen Dialog führen, um alle Fragen zu erörtern.
  • Mit Ihrer Erlaubnis können wir Ihren Beitrag zur Verbesserung der Sicherheit unserer Produkte und Systeme öffentlich anerkennen.

Durch die Weitergabe von Informationen über diesen Prozess erklären Sie sich mit den Datenschutzbestimmungen und den Nutzungsbedingungen der Ypsomed AG einverstanden.

Status: Juli 2025