Estamos comprometidos em garantir a segurança e a eficiência dos nossos produtos. A segurança cibernética de nossos produtos e da infraestrutura de nossos clientes é parte integrante do nosso foco.

Pesquisadores de segurança desempenham uma função em identificar vulnerabilidades e preocupações de segurança cibernética. Nossa meta é fazer parceria efetiva com a comunidade de pesquisa para entender suas descobertas. Estamos apresentando nosso Processo de Divulgação de Vulnerabilidades Coordenado inicial para promover colaboração e comunicação de vulnerabilidades de dispositivos médicos conforme descrito abaixo.

O escopo de nosso programa de comunicação de vulnerabilidades inclui dispositivos médicos, software como dispositivo médico e aplicativos médicos móveis. Ele não tem a intenção de fornecer informações de suporte técnico sobre nossos produtos para comunicar eventos adversos ou reclamações sobre a qualidade dos produtos.

Para comunicar um evento adverso ou uma reclamação sobre a qualidade dos produtos, entre em contato pelo endereço  stryker.com/productexperience.

Como enviar uma vulnerabilidade

Se você tiver identificado uma possível vulnerabilidade de segurança com um de nossos dispositivos médicos, software como dispositivo médico ou aplicativos médicos móveis, envie um relatório de vulnerabilidade para a Equipe de Segurança de Produtos da Stryker preenchendo o formulário a seguir e envie por e-mail o documento preenchido para ProductSecurity@stryker.com.

Informações importantes:
 

Nós não iniciaremos ação judicial contra indivíduos que enviarem comunicados por meio do nosso processo de Comunicação de Vulnerabilidades e estabelecerem um contrato jurídico conosco. Concordamos em trabalhar com indivíduos que:    

• Se envolvam em testes de sistemas/pesquisa sem prejudicar a Stryker ou seus clientes.    
• Realizem testes nos produtos sem afetar os clientes ou que recebam permissão/consentimento dos clientes antes de se envolverem em testes de vulnerabilidade em seus dispositivos/software etc.  
• Se envolvam em testes de vulnerabilidade dentro do escopo de nosso programa de divulgação de vulnerabilidade de acordo com os termos e condições de qualquer contrato celebrado entre a Stryker e os indivíduos.
• Cumpram as leis do seu local e do local da Stryker. Por exemplo, violar leis que resultariam somente em uma reclamação pela Stryker (e não em uma ação penal) pode ser aceitável uma vez que a Stryker está autorizando a atividade (engenharia reversa ou medidas cautelares evasivas) para melhorar seu sistema.
• Abstenham-se de divulgar detalhes de vulnerabilidade antes que qualquer prazo de comum acordo expire.
  

Critérios de preferência, priorização e aceitação
Usaremos os seguintes critérios para priorizar e selecionar os envios das notificações.   

O que esperamos de você:

• Relatórios escritos em inglês.  
• Relatórios que incluam código de prova de conceito, que irão nos preparar melhor para fazer a seleção.   
• Como você descobriu a vulnerabilidade, o impacto e alguma possível correção.   
• Algum plano ou intenção de divulgação pública.   

Observação: os relatórios que incluírem apenas despejos de memória ou outro resultado de ferramenta automatizada poderão receber prioridade menor.

O que você pode esperar de nós:   

• Uma resposta pontual ao seu e-mail (no prazo de cinco dias úteis).
• Encaminharemos as possíveis descobertas para as equipes de produtos adequadas para verificação e reprodução. Você pode ser contatado para fornecer informações adicionais neste estágio.  
• Após a investigação de um comunicado, confirmaremos a existência da vulnerabilidade e o possível impacto.  Se for considerado que a vulnerabilidade identificada afeta a segurança do paciente, trabalharemos rapidamente para desenvolver uma resolução e tomar as devidas providências. Todas as outras vulnerabilidades serão avaliadas e tratadas com base no risco associado.
• Um diálogo aberto para discutir as questões.   
• Notificação quando a análise da vulnerabilidade tiver concluído cada estágio de nossa revisão.   
• Crédito depois que a vulnerabilidade for validade e resolvida, se desejado.   
• Temos o compromisso de ser o mais transparente possível sobre o cronograma de correção e os problemas ou desafios que possam estar envolvidos.  
• Se não pudermos resolver problemas de comunicação ou outros problemas, envolveremos uma terceira parte imparcial (como CERT/CC, ICS-CERT ou o regulador relevante) para auxiliar na determinação da melhor forma de tratar a vulnerabilidade.   

Todos os aspectos deste processo estão sujeitos à alteração sem aviso prévio, bem como a exceções caso a caso. Não garantimos nenhum nível específico de resposta.

Aviso

Caso decida compartilhar alguma informação com a Stryker, você concorda que as informações enviadas serão consideradas como não proprietárias e não confidenciais e que a Stryker terá permissão para usar essas informações de qualquer maneira, no todo ou em parte, sem restrições. Além disso, você concorda que o envio de informações não cria nenhum direito para você nem obrigações para a Stryker.

Como parte de nosso compromisso com a segurança do produto e atendimento ao cliente, fornecemos aos nossos clientes informações para ajudá-los a avaliar e tratar as vulnerabilidades e os riscos.

Especificamente, usamos a Declaração de Divulgação do Fabricante (Manufacturer Disclosure Statement, MDS²) para segurança de dispositivos médicos para fornecer informações de segurança sobre nossos produtos.

A MDS² contém informações de segurança específicas dos produtos relacionadas às capacidades dos dispositivos, como:    

• Manutenção, armazenamento e transmissão de informações eletrônicas de saúde protegidas (ePHI) 
• Backup de dados e recursos de mídia removíveis
• Instalação de patches de segurança e software antivírus
• Acesso a serviços remotos
• Logs de auditoria e acesso a ePHI incluindo: visualizar, criar, modificar e excluir registros; importar/exportar

A MDS², um formulário de comunicação universal que nos permite fornecer aos clientes informações específicas sobre o modelo, é aprovada pela American College of Clinical Engineering (ACCE), pelo ECRI (antigo Emergency Care Research Institute), pela National Electrical Manufacturers Association (NEMA) e pela Healthcare Information and Management Systems Society (HIMSS).

O formulário também contém recomendações sobre práticas de segurança e observações explicativas do fabricante.