Ci impegniamo a garantire la sicurezza, l'efficacia e la sicurezza dei nostri prodotti. La sicurezza informatica dei nostri prodotti e dell'infrastruttura dei nostri clienti è parte integrante della nostra azione.

I ricercatori della sicurezza hanno un ruolo importante nell'identificazione dei problemi e delle vulnerabilità della sicurezza informatica. Il nostro scopo è collaborare con la comunità di ricerca per comprenderne i risultati. Stiamo introducendo il nostro Coordinated Vulnerability Disclosure Process iniziale per promuovere la collaborazione e la comunicazione delle vulnerabilità dei dispositivi medici come descritto di seguito.

L'ambito del nostro programma di segnalazione delle vulnerabilità include i dispositivi medici, il software come dispositivo medico e le applicazioni mediche mobili. Non ha lo scopo di fornire assistenza tecnica sui nostri prodotti o segnalare gli eventi avversi o i reclami sulla qualità dei prodotti.

Per segnalare un evento avverso o un reclamo sulla qualità dei prodotti, contattarci all'indirizzo stryker.com/productexperience.

Come presentare una vulnerabilità

Se è stata identificata una potenziale vulnerabilità della sicurezza con uno dei nostri dispositivi medici, software come dispositivo medico o applicazioni mediche mobili, presentare un resoconto al Product Security Team di Stryker completando il modulo e inviando via e-mail il documento completo all'indirizzo ProductSecurity@stryker.com.

Informazioni importanti:
 

Non intraprenderemo azioni legali nei confronti di individui che presentano resoconti attraverso il nostro processo di segnalazione delle vulnerabilità e stipulano un accordo legale con noi. Accettiamo di lavorare con individui che:    

• Si impegnano a verificare sistemi/ricerche senza recare danno a Stryker o ai suoi clienti.    
• Eseguono test su prodotti senza interessare i clienti o ricevere l'autorizzazione (consenso) dai clienti prima di intraprendere test di vulnerabilità sui loro dispositivi/software, ecc...  
• Intraprendono test di vulnerabilità nell'ambito del nostro programma di divulgazione delle vulnerabilità in conformità ai termini e alle condizioni di qualsiasi accordo stipulato tra Stryker e individui.
• Rispettano le leggi del proprio paese e di quello di Stryker. Ad esempio, la violazione delle leggi che culminerebbe solo in un reclamo da parte di Stryker (non un'azione penale) potrebbe essere ritenuta accettabile poiché Stryker autorizza l'attività (reverse engineering o aggiramento delle misure di protezione) per migliorare il sistema.
• Si astengono dal divulgare i dettagli delle vulnerabilità prima della scadenza di un periodo di tempo reciprocamente stabilito.
  

Criteri di preferenza, priorità e accettazione
Utilizzeremo i seguenti criteri per dare priorità e selezionare le presentazioni.   

Cosa desideriamo ricevere:

• Rapporti scritti in inglese.  
• Rapporti comprensivi di codice proof‐of‐concept, che ci aiuteranno nella selezione.   
• Modo in cui è stata trovata la vulnerabilità, il suo impatto e qualsiasi potenziale rimedio.   
• Eventuali piani o intenzioni di divulgazione pubblica.   

Nota: i rapporti che includono solo dump di blocchi o altro output di strumenti automatici potrebbero ottenere una priorità più bassa.

Cosa puoi aspettarci da noi:   

• Una risposta tempestiva alla tua e-mail (entro 5 giorni lavorativi).
• Sottoporremo i potenziali risultati al team prodotti appropriato per la verifica e la riproduzione. È possibile che tu venga contattato per chiederti ulteriori informazioni.  
• Dopo la revisione di un rapporto, confermeremo l'esistenza della vulnerabilità e del suo impatto potenziale.  Se viene stabilito che la vulnerabilità identificata ha un impatto sulla sicurezza del paziente, ci impegneremo al massimo per sviluppare una soluzione e intraprendere un'azione appropriata. Tutte le altre vulnerabilità verranno valutate e affrontate in base al rischio associato.
• Un dialogo aperto per discutere dei problemi.   
• Notifica quando l'analisi della vulnerabilità ha superato ogni fase della revisione.   
• Credito dopo che la vulnerabilità è stata confermata e risolta, se lo si desidera.   
• Ci impegniamo a essere il più possibile trasparenti sui tempi di risoluzione e sulle problematiche che potrebbero verificarsi.  
• Se non siamo in grado di risolvere i problemi di comunicazione o di altro tipo, abbiamo facoltà di coinvolgere una terza parte (CERT/CC, ICS-CERT o l'organo di controllo rilevante) per capire come gestire al meglio la vulnerabilità.   

Tutti gli aspetti di questo processo sono soggetti a modifica senza preavviso, anche nel caso di eccezioni specifiche. Non è garantito alcun livello specifico di risposta.

Avviso

Se decidi di condividere informazioni con Stryker, accetti che le informazioni inviate vengano trattate come non proprietarie e non riservate e che Stryker sia autorizzata a usare tali informazioni in qualsiasi maniera, interamente o in parte, senza alcuna restrizione. Accetti inoltre che l'invio delle informazioni non implica alcun diritto per te e alcun obbligo per Stryker.

Nell'ambito del nostro impegno verso la sicurezza dei prodotti e l'assistenza ai clienti, forniamo ai nostri clienti tutte le informazioni necessarie a valutare e ad affrontare le vulnerabilità e i rischi.

In modo specifico, la Comunicazione informativa del produttore in merito alla sicurezza dei dispositivi medici (MDS²) ci consente di fornire informazioni sulla sicurezza dei nostri prodotti.

Il prodotto MDS² contiene informazioni sulla sicurezza specifiche dei prodotti correlate alle funzionalità dei dispositivi, ad esempio:    

• Conservazione, memorizzazione e trasmissione delle informazioni sanitarie protette (ePHI) 
• Back-up dei dati e supporti removibili
• Installazione delle patch di sicurezza e del software antivirus
• Accesso remoto al servizio
• Registri di audit dell'accesso alle informazioni sanitarie protette: visualizzazione; creazione, modifica ed eliminazione di record; importazione/esportazione

La comunicazione MDS², un modello di segnalazione universale che ci permette di fornire ai nostri clienti informazioni su prodotti specifici, è approvata dall'American College of Clinical Engineering (ACCE), dall'ECRI (ex Emergency Care Research Institute), dalla National Electrical Manufacturers Association (NEMA) e dalla Healthcare Information and Management Systems Society (HIMSS).

Il modulo contiene inoltre raccomandazioni per l'attuazione della messa in sicurezza e le note esplicative del produttore.