hero-mobile-v3

La sicurezza è al centro di ciò che facciamo.
hero-mobile-v3

La sicurezza dei prodotti non è solo una caratteristica; è un aspetto fondamentale nella salvaguardia delle nostre soluzioni.
X

Sicurezza dei prodotti | Stryker

Sicurezza dei prodotti

Noi di Stryker teniamo molto alla sicurezza dei nostri prodotti, perché sappiamo quanto siano importanti. Il nostro team preposto alla sicurezza dei prodotti lavora instancabilmente per implementare misure di sicurezza efficaci e collabora con i partner del settore per migliorare costantemente le nostre pratiche di sicurezza. Adottiamo un approccio alla sicurezza proattivo per anticipare le minacce emergenti e mettere in atto misure appropriate per affrontare le vulnerabilità. La tua fiducia è la nostra massima priorità e ci impegniamo a salvaguardare i prodotti e i dati da cui dipendi.

Informazioni di supporto sui prodotti

Sicurezza informatica aziendale

  

Il nostro impegno

Effettuiamo valutazioni approfondite della sicurezza dei nostri prodotti durante tutto il loro ciclo di vita per identificare e mitigare potenziali vulnerabilità. La sicurezza è integrata in ogni fase del nostro processo di sviluppo dei prodotti, dalla progettazione alla distribuzione; ci assicuriamo che sia un elemento fondamentale in tutto ciò che facciamo.

 

 

Il nostro obiettivo

  

Icona che raffigura un'idea

Progettazione e sviluppo di dispositivi

  • Durante le fasi di progettazione e sviluppo di nuovi dispositivi medici implementiamo misure di sicurezza che includono la modellazione delle minacce, la valutazione dei rischi e l'integrazione di controlli di sicurezza nell'architettura del prodotto.
  • La collaborazione tra team di ingegneria, sicurezza informatica, privacy e regolamentazione consente di orientare un approccio olistico per implementare le migliori pratiche di sicurezza nell'innovazione dei prodotti.
  • Ci assicuriamo che la sicurezza sia presa in considerazione fin dalle fasi iniziali di progettazione per attenuare potenziali vulnerabilità e minacce che potrebbero avere un impatto sulla sicurezza dei pazienti o compromettere dati sensibili.

  

Icona che raffigura un lucchetto

Catena di fornitura
 

  • La sicurezza della catena di fornitura si concentra sulla mitigazione dei rischi associati all'approvvigionamento, alla produzione, alla distribuzione e alla manutenzione dei dispositivi medici.
  • Collaboriamo a stretto contatto con fornitori e partner per stabilire requisiti di sicurezza, eseguire valutazioni approfondite e salvaguardare l'integrità dei componenti e dei software integrati nei loro prodotti.
  • Misure quali pratiche di codifica sicura, convalida del firmware e canali di distribuzione sicuri contribuiscono a prevenire manomissioni, contraffazioni o modifiche non autorizzate in tutta la catena di fornitura.

  

Icona che raffigura il supporto

Risposta agli incidenti e gestione delle vulnerabilità

  • Stryker ha implementato solidi processi di risposta agli incidenti e di gestione delle vulnerabilità per rilevare, valutare e mitigare tempestivamente i problemi di sicurezza. Ciò include l'istituzione di protocolli di comunicazione, il coordinamento degli sforzi di risposta con i clienti e gli enti regolatori, il rilascio tempestivo di patch o aggiornamenti e l'esecuzione di revisioni post-incidente.
  • Nonostante l'adozione di misure di sicurezza proattive, durante il ciclo di vita dei dispositivi medici possono comunque verificarsi vulnerabilità e incidenti.

  

Icona che raffigura l'approvazione

Partnership sanitarie
 

  • I nostri esperti in materia collaborano con gruppi del settore per promuovere i principi di sicurezza informatica e le migliori pratiche del settore.
  • Promuoviamo una cultura di trasparenza e collaborazione con clienti, soggetti interessati del settore e fornitori per rafforzare la sicurezza.
  • Forniamo assistenza nello sviluppo di quadri normativi di settore e documenti tecnici e ci impegniamo proattivamente con gli enti regolatori per contribuire a migliorare l'assistenza sanitaria.

  

Avvisi di sicurezza più recenti

Vulnerabilità di Stryker Vocera Report Server e Voice Server

Leggi altro

Vulnerabilità dello Spooler di stampa Microsoft (CVE-2021-34527 e CVE-2021-36958)

Leggi altro

Libreria di registrazione open source Apache “Log4j”

Leggi altro

Vulnerabilità "Urgent 11" - Wind River VxWorks (ICSA-19-211-01)

Leggi altro
VEDI TUTTI GLI ARTICOLI

 

 

Divulgazione coordinata delle vulnerabilità (CVD, dall'inglese coordinated vulnerability disclosure) relative ai prodotti

I ricercatori in materia di sicurezza svolgono un ruolo nell'identificazione delle vulnerabilità e dei problemi legati alla sicurezza informatica. Stryker dispone di un processo di divulgazione coordinata delle vulnerabilità (CVD) per promuovere la collaborazione e la segnalazione efficace delle vulnerabilità dei dispositivi medici di Stryker.

 

  

Importante

  

Informazioni importanti sul nostro processo CVD

Collaboriamo in buona fede con ricercatori e soggetti che testano i nostri prodotti e non intraprenderemo azioni legali contro gli individui che inviano segnalazioni tramite il nostro processo CVD. L'utilizzo di questo processo è considerato un accordo legale con Stryker.

Accettiamo di collaborare con individui che:

  • Si impegnano a testare sistemi/ricerche senza danneggiare Stryker o i suoi clienti.
  • Eseguono test su prodotti senza che vi sia alcun impatto per i clienti o ricevono l'autorizzazione (consenso) dai clienti prima di intraprendere test di vulnerabilità sui loro dispositivi/software, ecc.
  • Si impegnano a intraprendere test di vulnerabilità nell'ambito del nostro programma CVD in conformità ai termini e alle condizioni di qualsiasi accordo stipulato tra Stryker e determinati soggetti.
  • Aderiscono alle norme del proprio Paese e di quello di Stryker.
  • Si astengono dal divulgare i dettagli delle vulnerabilità prima della scadenza di un periodo di tempo reciprocamente stabilito.

Se decidi di condividere informazioni con Stryker, accetti che le informazioni inviate vengano trattate come non proprietarie e non riservate e che Stryker sia autorizzata a utilizzare tali informazioni in qualsiasi maniera, interamente o in parte, senza alcuna restrizione. Accetti inoltre che l'invio delle informazioni non implica alcun diritto per te e alcun obbligo per Stryker.

  

Cosa puoi aspettarti da noi

  

Cosa puoi aspettarti da noi

  • Invieremo una risposta tempestiva alla tua e-mail (entro 10 giorni lavorativi).
  • Sottoporremo i potenziali risultati all'attenzione del team prodotti appropriato, a scopo di verifica e riproduzione. È possibile che tu venga contattato/a allo scopo di fornire ulteriori informazioni in questa fase.
  • Dopo la revisione di un rapporto, confermeremo l'esistenza della vulnerabilità e del suo impatto potenziale. Se viene stabilito che la vulnerabilità identificata ha un impatto sulla sicurezza del paziente, ci impegneremo al massimo per sviluppare una soluzione e intraprendere un'azione appropriata. Tutte le altre vulnerabilità verranno valutate e affrontate in base al rischio associato.
  • Discuteremo degli eventuali problemi mediante un dialogo aperto.
  • Invieremo una notifica nel momento in cui l'analisi della vulnerabilità avrà superato ogni fase della revisione.
  • Se lo desideri, riconosceremo che la vulnerabilità è stata validata e risolta.

Ci impegniamo a essere il più trasparenti possibile sui tempi di risoluzione e sulle problematiche che potrebbero verificarsi.

Qualora non fossimo in grado di risolvere i problemi di comunicazione o di altro tipo, potremmo coinvolgere una terza parte (CERT/CC, ICS-CERT o l'organo di controllo rilevante) per capire come gestire al meglio la vulnerabilità.

Tutti gli aspetti del processo CVD di Stryker sono soggetti a modifiche senza preavviso, a esclusiva discrezione di Stryker. Non è garantito alcun livello specifico di risposta.

Processo di gestione delle vulnerabilità

Il nostro processo di divulgazione coordinata delle vulnerabilità (CVD) comprende dispositivi medici e prodotti software sanitari regolamentati, tra cui dispositivi medici, software come dispositivo medico (SaMD) e applicazioni mediche mobili. Tale processo non intende fornire informazioni di supporto tecnico sui nostri prodotti, segnalare eventi avversi o presentare reclami sulla qualità dei prodotti.

 

Come segnalare vulnerabilità non correlate a un prodotto

Per segnalare vulnerabilità non correlate a un prodotto nell'infrastruttura aziendale di Stryker, contattateci tramite il programma Stryker Enterprise IT Vulnerability Disclosure Program all'indirizzo bugcrowd.com/stryker-vdp.

 

Come inviare un rapporto su una vulnerabilità

Se hai identificato una potenziale vulnerabilità in uno dei nostri dispositivi medici, software come dispositivo medico (SaMD) o applicazioni mediche mobili, utilizza il seguente modulo per inviare un rapporto sulla vulnerabilità al team preposto alla sicurezza dei prodotti di Stryker.

Per segnalare un evento avverso o un reclamo sulla qualità di un prodotto di Stryker, puoi consultare l'indirizzo 
stryker.com/productexperience.

Modulo di invio di un rapporto sulla vulnerabilità

Cosa vorremmo che fosse presente nel tuo rapporto

  • Il rapporto deve essere scritto in inglese.
  • Il rapporto deve includere un codice proof‐of‐concept, che ci aiuterà nella selezione.
  • Il modo in cui è stata rilevata la vulnerabilità, il suo impatto e qualsiasi potenziale rimedio.
  • Eventuali piani o intenzioni di divulgazione pubblica.
  • Nota: i rapporti che includono solo crash dump o un altro tipo di output di strumenti automatici potrebbero ottenere una priorità più bassa.