Segurança dos produtos
Na Stryker, nos preocupamos muito com a segurança dos nossos produtos porque sabemos o quanto eles são importantes. Nossa equipe dedicada de segurança de produtos trabalha incansavelmente para implementar medidas de segurança robustas e colabora com parceiros do setor para melhorar continuamente nossas práticas de segurança. Adotamos uma abordagem de segurança proativa para ficar à frente das ameaças que surgem e tomar as medidas adequadas para lidar com vulnerabilidades. Sua confiança é nossa maior prioridade. Temos o compromisso de proteger os produtos e dados dos quais você depende.
Nosso compromisso
Realizamos avaliações de segurança completas de nossos produtos durante todo o ciclo de vida deles para identificar e mitigar possíveis vulnerabilidades. A segurança está integrada em todas as etapas do nosso processo de desenvolvimento de produtos, desde o design até a implantação, garantindo que seja um elemento fundamental em tudo o que fazemos.
Nosso foco
Design e desenvolvimento de dispositivos
- Durante as fases de design e desenvolvimento de novos dispositivos médicos, implementamos medidas de segurança que incluem modelagem de ameaças, avaliações de risco e incorporação de controles de segurança na arquitetura dos produtos.
- A colaboração entre equipes de engenharia, segurança cibernética, privacidade e regulamentação nos direciona para uma abordagem holística para implementar as práticas recomendadas de segurança na inovação de produtos.
- Garantimos que a segurança seja considerada desde os estágios iniciais do projeto para mitigar possíveis vulnerabilidades e ameaças que possam afetar a segurança dos pacientes ou comprometer dados sensíveis.
Cadeia de suprimentos
- A segurança da cadeia de suprimentos se concentra na mitigação de riscos associados à compra, fabricação, distribuição e manutenção de dispositivos médicos.
- Colaboramos com fornecedores e parceiros para estabelecer requisitos de segurança, realizar avaliações completas e proteger a integridade dos componentes e softwares integrados aos produtos deles.
- Medidas como práticas de codificação seguras, validação de firmware e proteção dos canais de distribuição ajudam a evitar adulteração, falsificação ou modificações não autorizadas em toda a cadeia de suprimentos.
Resposta a incidentes e gerenciamento de vulnerabilidades
- A Stryker implementou processos robustos de resposta a incidentes e gerenciamento de vulnerabilidades para detectar, avaliar e mitigar prontamente os problemas de segurança. Isso inclui estabelecer protocolos de comunicação, coordenar esforços de resposta com clientes e reguladores, enviar patches ou atualizações com rapidez e conduzir análises pós-incidente.
- Apesar das medidas de segurança proativas, vulnerabilidades e incidentes ainda podem ocorrer durante o ciclo de vida dos dispositivos médicos.
Parcerias no setor de saúde
- Nossos especialistas participam com grupos do setor para promover princípios de segurança cibernética e práticas recomendadas da indústria.
- Promovemos uma cultura de transparência e colaboração com clientes, partes interessadas do setor e fornecedores para fortalecer a segurança.
- Ajudamos no desenvolvimento de estruturas do setor, documentos técnicos e engajamentos proativos com reguladores para ajudar a melhorar a área da saúde.
Últimos comunicados de segurança
Produtos: divulgação coordenada de vulnerabilidades (CVD)
Os pesquisadores de segurança identificam vulnerabilidades e preocupações com segurança cibernética. A Stryker tem um processo de divulgação coordenada de vulnerabilidades (CVD) para promover a colaboração e a disseminação eficaz de questões desse tipo com os dispositivos médicos da empresa.
Informações importantes sobre nosso processo de CVD
Trabalhamos de boa-fé com pesquisadores e partes que testam nossos produtos e não tomaremos medidas legais contra indivíduos que enviarem relatórios por meio do nosso processo de CVD. O uso desse processo é considerado um acordo legal com a Stryker.
Concordamos em trabalhar com indivíduos que:
- Se envolvam em testes de sistemas/pesquisa sem prejudicar a Stryker ou os clientes da empresa.
- Realizem testes nos produtos sem afetar os clientes ou recebam permissão/consentimento dos clientes antes de se envolverem em testes de vulnerabilidade em seus dispositivos/software.
- Se envolvam em testes de vulnerabilidade dentro do escopo de nosso programa de CVD de acordo com os termos e condições de qualquer contrato celebrado entre a Stryker e os indivíduos.
- Cumpram as leis do seu local e do local da Stryker.
- Não divulguem detalhes de vulnerabilidade antes que qualquer prazo de comum acordo expire.
Caso decida compartilhar alguma informação com a Stryker, você concorda que as informações enviadas serão consideradas não reservadas e não confidenciais e que a Stryker terá permissão para usar essas informações de qualquer maneira, no todo ou em parte, sem restrições. Além disso, você concorda que o envio de informações não cria nenhum direito para você nem obrigações para a Stryker.
O que você pode esperar de nós
- Enviaremos uma resposta em tempo hábil ao seu e-mail (no prazo de 10 dias úteis).
- Encaminharemos as possíveis descobertas para as equipes de produtos adequadas para verificação e reprodução. Você poderá receber um contato para fornecer mais informações nessa etapa.
- Após a investigação de um comunicado, confirmaremos a existência da vulnerabilidade e o possível impacto. Se for considerado que a vulnerabilidade identificada afeta a segurança do paciente, trabalharemos rapidamente para desenvolver uma resolução e tomar as devidas providências. Todas as outras vulnerabilidades serão avaliadas e tratadas com base no risco associado.
- Discutiremos as questões em um diálogo aberto.
- Enviaremos uma notificação quando a análise da vulnerabilidade tiver concluído cada estágio de nossa revisão.
- Se desejado, daremos crédito depois que a vulnerabilidade for validada e resolvida.
Temos o compromisso de atuar com o máximo de transparência em relação ao tempo para correção e aos possíveis problemas ou desafios envolvidos.
Se não pudermos resolver questões de comunicação ou outros problemas, envolveremos uma terceira parte imparcial (como CERT/CC, ICS-CERT ou o regulador relevante) para auxiliar na determinação da melhor forma de tratar a vulnerabilidade.
Todos os aspectos do processo de CVD da Stryker estão sujeitos a alterações sem aviso prévio, a critério exclusivo da Stryker. Não garantimos nenhum nível específico de resposta.
Vulnerabilidades: processo de gerenciamento
Nosso processo de divulgação coordenada de vulnerabilidades (CVD) inclui produtos regulamentados, como dispositivos médicos, software de saúde, software como dispositivo médico (SaMD) e aplicativos médicos móveis. Ele não se destina a fornecer informações de suporte técnico sobre nossos produtos, relatar eventos adversos ou enviar reclamações sobre a qualidade dos produtos.
Como relatar vulnerabilidades não relacionadas aos produtos
Para relatar vulnerabilidades não relacionadas aos produtos na infraestrutura empresarial da Stryker, entre em contato conosco usando o programa de divulgação de vulnerabilidades de TI empresarial da Stryker em bugcrowd.com/stryker-vdp.
Como enviar uma vulnerabilidade
Se você identificou uma possível vulnerabilidade em um de nossos dispositivos médicos, software como dispositivo médico (SaMD) ou aplicativos médicos móveis, use o formulário abaixo para enviar um relatório de vulnerabilidade à equipe de segurança de produtos da Stryker.
Para comunicar um evento adverso ou fazer uma reclamação sobre a qualidade de um produto da Stryker, acesse
stryker.com/productexperience.
Vulnerabilidade: formulário de envio
O que esperamos no seu envio
- Relatórios escritos em inglês.
- Relatórios com códigos de prova de conceito, que nos prepararão melhor para a triagem.
- Como você descobriu a vulnerabilidade, o impacto e alguma possível correção.
- Planos ou intenções de divulgação pública.
- Observação: os relatórios que incluírem apenas despejos de memória ou outro resultado de ferramenta automatizada poderão receber prioridade menor.
DRE-GSNPS-PPT-1185510