hero-mobile-v3

La seguridad es el núcleo de lo que hacemos.
hero-mobile-v3

La seguridad de los productos no es solo una característica, es un aspecto clave para proteger nuestras soluciones.
X

Seguridad de los productos | Stryker

Seguridad de los productos

En Stryker, nos interesa profundamente la seguridad de nuestros productos porque sabemos lo importantes que son. Nuestro dedicado equipo de seguridad de productos trabaja incansablemente para implementar medidas de seguridad sólidas y colabora con socios de la industria para seguir mejorando nuestras prácticas de seguridad. Adoptamos un enfoque de seguridad proactivo para anticiparnos a las amenazas emergentes y tomar las medidas adecuadas para abordar las vulnerabilidades. Su confianza es nuestra principal prioridad y estamos comprometidos a proteger los productos y los datos de los que usted depende.

Información de soporte del producto

Ciberseguridad empresarial

  

Nuestro compromiso

Realizamos evaluaciones de seguridad exhaustivas de nuestros productos a lo largo del ciclo de vida para identificar y mitigar posibles vulnerabilidades. La seguridad está integrada en cada etapa de nuestro proceso de desarrollo de productos, desde el diseño hasta la implementación, lo que garantiza de que sea un elemento fundamental en todo lo que hacemos.

 

 

Nuestro enfoque

  

Ícono de idea

Diseño y desarrollo de dispositivos

  • Durante las fases de diseño y desarrollo de nuevos dispositivos médicos, implementamos medidas de seguridad que incluyen modelado de amenazas, evaluaciones de riesgos e integración de controles de seguridad en la arquitectura del producto.
  • La colaboración entre los equipos de ingeniería, ciberseguridad, privacidad y regulación informa un enfoque holístico para implementar las mejores prácticas de seguridad en la innovación de productos.
  • Nos aseguramos de que la seguridad se considere desde las etapas iniciales de diseño para mitigar posibles vulnerabilidades y amenazas que podrían afectar la seguridad del paciente o comprometer datos confidenciales.

  

Ícono de candado

Cadena de suministros
 

  • La seguridad de la cadena de suministro se centra en mitigar los riesgos asociados con la adquisición, fabricación, distribución y mantenimiento de dispositivos médicos.
  • Colaboramos estrechamente con proveedores y socios para establecer requisitos de seguridad, realizar evaluaciones exhaustivas y salvaguardar la integridad de los componentes y el software integrados en sus productos.
  • Medidas como prácticas de codificación segura, validación de firmware y canales de distribución seguros ayudan a prevenir la manipulación, la falsificación o las modificaciones no autorizadas a lo largo de la cadena de suministro.

  

Ícono de soporte

Respuesta a incidentes y gestión de vulnerabilidades

  • Stryker ha implementado sólidos procesos de respuesta a incidentes y gestión de vulnerabilidades para detectar, evaluar y mitigar rápidamente los problemas de seguridad. Esto incluye establecer protocolos de comunicación, coordinar esfuerzos de respuesta con clientes y supervisores, emitir parches o actualizaciones oportunas y realizar revisiones posteriores a los incidentes.
  • A pesar de las medidas de seguridad proactivas, aún pueden ocurrir vulnerabilidades e incidentes durante el ciclo de vida de los dispositivos médicos.

  

Ícono de aprobación

Asociaciones en materia de atención sanitaria
 

  • Nuestros expertos en la materia participan con grupos de la industria para promover los principios de ciberseguridad y las mejores prácticas de la industria.
  • Fomentamos una cultura de transparencia y colaboración con clientes, partes interesadas de la industria y proveedores para fortalecer la seguridad.
  • Asistimos en el desarrollo de marcos industriales, documentos técnicos y compromisos proactivos con los supervisores para ayudar a mejorar la atención médica.

  

Avisos de seguridad más recientes

Vulnerabilidades de la cola de impresión de Microsoft (CVE-2021-34527 y CVE-2021-36958)

Leer más

Biblioteca de registro de código abierto “Log4j” de Apache

Leer más

Vulnerabilidades de BLE "SweynTooth" (ICSA-20-063-01)

Leer más

Vulnerabilidades de pila TCP/IP de Treck "Ripple20" (ICSA-20-168-01)

Leer más
VER TODOS LOS ARTÍCULOS

 

 

Divulgación coordinada de vulnerabilidades (CVD, coordinated vulnerability disclosure) de los productos

Los investigadores de seguridad desempeñan un papel en la identificación de vulnerabilidades y preocupaciones en materia de ciberseguridad. Stryker tiene un proceso de divulgación coordinada de vulnerabilidades (CVD) para fomentar la colaboración y la notificación eficaz de las vulnerabilidades de los dispositivos médicos de Stryker.

 

  

Importante

  

Información importante sobre nuestro proceso de CVD

Trabajamos de buena fe con los investigadores y las partes que prueban nuestros productos y no emprenderemos acciones legales contra personas que envíen informes a través de nuestro proceso de CVD. El uso que usted haga de este proceso se considera un acuerdo legal con Stryker.

Aceptamos trabajar con individuos que hagan lo siguiente:

  • Participen en pruebas de sistemas o investigaciones sin infringir daños sobre Stryker o sus clientes.
  • Realicen pruebas sobre productos que no afecten a los clientes o reciban permisos o consentimientos de los clientes antes de involucrarse en pruebas de vulnerabilidad de sus dispositivos o software.
  • Participen en pruebas de vulnerabilidades dentro del alcance de nuestro programa de CVD de conformidad con los términos y las condiciones de cualquier acuerdo concertado entre Stryker y las personas.
  • Cumplan las leyes de su ubicación y de la ubicación de Stryker.
  • Se abstengan de divulgar detalles de las vulnerabilidades antes de la finalización de cualquier plazo mutuamente acordado.

En el caso de que usted decida compartir alguna información con Stryker, acepta que la información que proporcione se considerará no exclusiva y no confidencial y que Stryker tiene permitido usar esa información de cualquier manera, en su totalidad o en parte, sin ninguna restricción. Asimismo, usted acepta que enviar información no crea ningún derecho para usted ni ninguna obligación para Stryker.

  

Lo que puede esperar de nosotros

  

Lo que puede esperar de nosotros

  • Le daremos una respuesta oportuna a su correo electrónico (dentro de los 10 días hábiles).
  • Enviaremos los potenciales descubrimientos a los equipos de productos adecuados para su verificación y reproducción. Es posible que nos comuniquemos para solicitar más información.
  • Luego de la investigación de un informe, confirmaremos la existencia de la vulnerabilidad y el potencial impacto. Si se determina que la vulnerabilidad identificada puede impactar sobre la seguridad del paciente, trabajaremos de forma expeditiva para desarrollar una resolución y tomar las acciones correspondientes. Cualquier otra vulnerabilidad se evaluará y abordará en función del riesgo asociado.
  • Analizaremos los problemas en un diálogo abierto.
  • Le enviaremos una notificación cuando se complete cada instancia de nuestra revisión del análisis de la vulnerabilidad.
  • En caso de que lo desee, le proporcionaremos reconocimiento luego de validar y resolver la vulnerabilidad.

Nos comprometemos a actuar de la forma más transparente posible en el proceso de corrección y respecto de los problemas o desafíos que puedan surgir.

En caso de que no podamos resolver los problemas de comunicación o cualquier otro conflicto, incluiremos a un tercero neutral, como CERT/CC, ICS-CERT o el regulador correspondiente, para que nos ayude a determinar la mejor manera de resolver la vulnerabilidad.

Todos los aspectos del proceso CVD de Stryker están sujetos a cambios sin previo aviso, a discreción exclusiva de Stryker. No se garantiza ningún nivel de respuesta en particular.

Proceso de gestión de vulnerabilidades

Nuestro proceso de divulgación coordinada de vulnerabilidades (CVD) incluye dispositivos médicos y productos de software de salud regulados, incluidos dispositivos médicos, software como dispositivo médico (SaMD, software as a medical device) y aplicaciones médicas móviles. No tiene como objetivo proporcionar información de soporte técnico sobre nuestros productos, informar eventos adversos ni presentar quejas sobre la calidad de los productos.

 

Cómo informar vulnerabilidades no relacionadas con el producto

Para informar vulnerabilidades no relacionadas con el producto en la infraestructura empresarial de Stryker, comuníquese con nosotros a través del Programa de divulgación de vulnerabilidades de TI empresarial de Stryker al bugcrowd.com/stryker-vdp.

 

Cómo enviar un informe de vulnerabilidad

Si ha identificado una posible vulnerabilidad en uno de nuestros dispositivos médicos, software como dispositivo médico (SaMD) o aplicaciones médicas móviles, utilice el formulario a continuación para enviar un informe de vulnerabilidad al equipo de Seguridad de Productos de Stryker.

Para informar un evento adverso o una queja de calidad de un producto, visite 
stryker.com/productexperience.

Formulario de envío de vulnerabilidades

Lo que nos gustaría ver de usted en su presentación

  • Informes escritos en inglés.
  • Informes que incluyan un código de demostración conceptual que nos brinde más soporte para la clasificación.
  • Cómo se encontró la vulnerabilidad, su impacto y cualquier posible solución.
  • Cualquier plan o intención de divulgación pública.
  • Nota: Los informes que incluyan solo el volcado de error o cualquier otro resultado de una herramienta automática tendrán menor prioridad.