Nous sommes déterminés à garantir l’innocuité, l’efficacité réelle et la sécurité de nos produits.  En ce sens, nous portons une attention toute particulière à la cybersécurité de nos produits et de notre infrastructure de clients.

La recherche en matière de sécurité contribue au repérage de vulnérabilités et de problèmes liés à la cybersécurité.  Notre objectif consiste à collaborer efficacement avec les chercheurs afin de comprendre leurs découvertes.  Nous présentons donc notre premier processus coordonné de divulgation des vulnérabilités, qui vise à favoriser la collaboration et le signalement des vulnérabilités des dispositifs médicaux, comme décrit ci-dessous.

Le programme de signalement des vulnérabilités s’applique aux dispositifs médicaux, aux logiciels comme dispositifs médicaux et aux applications mobiles médicales. Il n’est pas destiné à la divulgation de renseignements techniques sur les produits, au signalement des événements indésirables ni au dépôt de plaintes relatives à la qualité des produits.

Pour signaler un événement indésirable ou déposer une plainte relative à la qualité d’un produit, veuillez communiquer avec nous par l’entremise de notre site Web stryker.com/productexperience.

Soumission d’une vulnérabilité

Si vous avez découvert une vulnérabilité informatique potentielle concernant l’un de nos dispositifs médicaux, logiciels comme dispositifs médicaux ou applications mobiles médicales, veuillez soumettre un rapport à l’équipe de sécurité des produits de Stryker en remplissant le formulaire suivant et en l’envoyant par courriel à l’adresse ProductSecurity@stryker.com.

Renseignements importants
 

Nous n’intenterons pas de poursuite judiciaire contre les personnes qui soumettent un rapport par l’entremise du processus de signalement des vulnérabilités et concluent une entente juridique avec nous. Nous nous engageons à collaborer avec les personnes qui :    

• testent les systèmes ou recherchent des vulnérabilités sans nuire à Stryker ou à ses clients.    
• réalisent des tests sur les produits sans nuire aux clients, ou reçoivent la permission ou l’autorisation des clients avant de réaliser des tests de vulnérabilité sur les dispositifs, logiciels ou autres.  
• réalisent des tests de vulnérabilité dans le cadre de notre programme de divulgation des vulnérabilités tout en respectant les modalités des ententes conclues avec Stryker;
• respectent les lois de leur pays et des pays dans lesquels Stryker fait affaire. Par exemple, la violation d’une loi qui n’entraîne qu’une poursuite par Stryker (contrairement à une poursuite criminelle) peut être acceptable puisque Stryker autorise l’activité (rétro-ingénierie ou contournement des mesures de protection) afin d’améliorer ses systèmes;
• s’abstiennent de divulguer les détails des vulnérabilités avant l’expiration de la période conclue mutuellement.
  

Critères de préférence, de priorisation et d'acceptation
Afin de trier les soumissions et de déterminer lesquelles sont prioritaires, nous suivrons les critères suivants.   

Ce que nous espérons de vous :

• des rapports rédigés en anglais.  
• des rapports comprenant un code de validation de principe qui nous aidera à effectuer le tri.   
• la façon dont vous avez trouvé la vulnérabilité, ses effets et des solutions possibles.   
• vos plans ou vos intentions de divulgation au public, le cas échéant.   

Remarque : Les rapports qui comprennent uniquement des vidages sur incident ou autres données d’outils automatiques recevront une faible priorité.

Ce que vous pouvez espérer de nous :   

• une réponse rapide à votre courriel (dans les cinq jours ouvrables);
• l’envoi de vos découvertes potentielles aux équipes de produits appropriées à des fins de vérification et de reproduction. Nous pourrions vous contacter à cette étape pour recevoir des renseignements additionnels.  
• la confirmation de l’existence de la vulnérabilité et de ses effets potentiels à la suite d’une enquête sur le rapport.  Si nous déterminons que la vulnérabilité découverte peut nuire à la sécurité des patients, nous nous efforcerons de trouver une solution et prendrons les mesures correctives nécessaires. Toutes les autres vulnérabilités seront évaluées et abordées selon le risque y étant associé.
• un dialogue ouvert pour discuter des problèmes.   
• un avis lorsque l’analyse de vulnérabilité a été réalisée à chaque étape de notre examen.   
• un crédit une fois que la vulnérabilité aura été validée et résolue, si désiré.   
• un engagement à la transparence concernant l’échéancier de résolution de la vulnérabilité et les problèmes rencontrés, autant que possible.  
• l’intervention d’une tierce partie neutre (comme CERT/CC, ICS-CERT ou un autre organisme de réglementation pertinent) pour nous aider à déterminer la meilleure solution pour traiter la vulnérabilité si nous n’arrivons pas à résoudre un problème de communication ou autre problème.   

Tous les aspects de ce processus peuvent faire l’objet de changements sans préavis et d’un traitement au cas par cas. Nous ne garantissons aucun degré d’intervention.

Avis

Si vous décidez de transmettre des renseignements à Stryker, vous acceptez que ceux-ci soient considérés comme non exclusifs et non confidentiels et que Stryker puisse les utiliser de quelque manière que ce soit, en tout ou en partie, sans restrictions. Vous acceptez également que les renseignements soumis ne créent aucun droit pour vous ni aucune obligation de la part de Stryker.

Dans le cade de notre engagement en matière de sécurité des produits et de service à la clientèle, nous offrons à nos clients des renseignements qui les aideront à évaluer les vulnérabilités et les risques, et à y remédier.

Plus particulièrement, la déclaration du fabricant sur la sécurité des dispositifs médicaux nous permet de fournir de l’information sur la sécurité de nos produits.

Ce document contient des renseignements de sécurité spécifiques aux produits concernant les capacités des dispositifs, comme :    

• l’entreposage, l’entretien et la transmission de renseignements électroniques protégés sur la santé; 
• la sauvegarde des données et les capacités des médias amovibles;
• l’installation de correctifs de sécurité et de logiciels antivirus;
• l’accès à distance aux services;
• les journaux d’audit de l’accès aux renseignements électroniques protégés sur la santé : consultation; création, modification et suppression de dossiers; importation/exportation.

La déclaration du fabricant sur la sécurité des dispositifs médicaux, un formulaire universel de rapport qui nous permet de fournir à nos clients des renseignements spécifiques aux modèles, est approuvée par l’American College of Clinical Engineering (ACCE), l’ECRI (anciennement l’Emergency Care Research Institute), la National Electrical Manufacturers Association (NEMA), et l’Healthcare Information and Management Systems Society (HIMSS).

Ce formulaire contient aussi des recommandations et des notes explicatives du fabricant sur les pratiques sécuritaires à adopter.