hero-mobile-v3

安全性是我们工作的核心。
hero-mobile-v3

产品安全不仅仅是一项功能,还是保护我们解决方案的一个重点。
X

产品安全 | Stryker

产品安全

在 Stryker,我们非常关心我们产品的安全性,因为我们知道这有多重要。 我们专门的产品安全团队坚持不懈地实施强大的安全措施,并与行业合作伙伴合作,不断改进我们的安全实践。 我们采取积极主动的安全方法来预防新出现的威胁,并采取适当的措施来解决漏洞。 您的信任是我们的第一要务,我们致力于保护您所依赖的产品和数据。

产品支持信息

企业网络安全

  

我们的承诺

我们对产品的整个生命周期进行全面的安全评估,以识别并减轻潜在的漏洞。 安全性融入了我们产品开发过程的每个阶段,从设计到部署,从而确保它是我们所做一切的基础要素。

 

 

我们的重点

  

想法图标

设备设计和开发

  • 在新医疗设备的设计和开发阶段,我们实施安全措施,包括威胁建模、风险评估以及将安全控制嵌入到产品架构中。
  • 工程、网络安全、隐私和监管团队之间的协作为在产品创新中实施安全最佳实践提供了整体方法。
  • 我们确保从初始设计阶段就考虑安全性,以减轻可能影响患者安全或危及敏感数据的潜在漏洞和威胁。

  

锁定图标

供应链
 

  • 供应链安全专注于降低与医疗器械采购、制造、分销和维护相关的风险。
  • 我们与供应商和合作伙伴密切合作,制定安全要求,进行全面评估,并保障其产品中集成的组件和软件的完整性。
  • 安全编码实践、固件验证和安全分销渠道等措施有助于防止整个供应链中的篡改、伪造或未经授权的修改。

  

支持图标

事故响应和漏洞管理

  • Stryker 已实施强大的事故响应和漏洞管理流程,以便及时发现、评估和缓解安全问题。 这包括建立沟通协议、与客户和监管机构协调响应工作、及时发布补丁或更新以及进行事故后回顾。
  • 尽管采取了主动的安全措施,但在医疗设备的生命周期内仍然可能出现漏洞和事故。

  

批准图标

医疗保健合作伙伴关系
 

  • 我们的主题专家与行业团体合作,推进网络安全原则和行业最佳实践。
  • 我们与客户、行业利益相关者和供应商一起培育一种透明、协作的文化,以加强安全性。
  • 我们协助制定行业框架、撰写技术论文,并与监管机构积极合作,以帮助改善医疗保健。

  

最新的安全建议

Stryker Vocera 报告服务器和语音服务器漏洞

阅读更多

Microsoft 打印后台处理程序漏洞 (CVE-2021-34527 和 CVE-2021-36958)

阅读更多

Apache “Log4j” 开源日志库

阅读更多

“Urgent 11”漏洞 - Wind River VxWorks (ICSA-19-211-01)

阅读更多
查看所有文章

 

 

产品协调漏洞披露 (CVD)

安全研究人员在识别网络安全漏洞和问题方面发挥着重要作用。 Stryker 拥有协调漏洞披露 (CVD) 流程,旨在促进协作并有效报告 Stryker 医疗设备漏洞。

 

  

重要信息

  

关于我们的 CVD 流程的重要信息

我们真诚地与测试我们产品的研究人员和各方合作,不会对通过我们的 CVD 流程提交报告的个人采取法律行动。 您对此流程的使用被视为与 Stryker 达成的法律协议。

我们同意与以下人员合作:

  • 在不对 Stryker 或其客户造成损害的情况下参与系统测试/研究的人员。
  • 在不影响客户或在对其设备/软件进行漏洞测试之前获得客户的许可/同意的情况下对产品进行测试的人员。
  • 根据 Stryker 与个人之间签订的任何协议的条款和条件,在我们的 CVD 计划范围内进行漏洞测试的人员。
  • 遵守其所在地以及 Stryker 所在地法律的人员。
  • 在双方商定的任意时间期限届满之前,不得泄露漏洞详细信息。

如果您决定与 Stryker 共享任何信息,即表示您同意您提交的信息将被视为非专有和非机密信息,并允许 Stryker 以任何方式使用全部或部分此类信息,而不受任何限制。 此外,您同意提交信息不会对您产生任何权利或对 Stryker 产生任何义务。

  

我们能为您提供什么

  

我们能为您提供什么

  • 我们将及时回复您的电子邮件(10 个工作日内)。
  • 我们会将潜在的调查结果发送给相应的产品团队进行验证和再现。 在此阶段,我们可能会联系您提供其他信息。
  • 在对报告进行调查后,我们将确认漏洞是否存在及其潜在影响。 如果确定识别的漏洞会影响患者的安全,我们将迅速制定解决方案并采取适当行动。 将根据相关风险评估和解决所有其他漏洞。
  • 我们将以开放式对话讨论问题。
  • 当漏洞分析完成每个审核阶段时,我们都会发出通知。
  • 如果需要,我们将在漏洞得到验证和解决后提供认可。

我们承诺尽可能透明地公开修复时间表以及可能涉及的问题或挑战。

如果我们无法解决通信问题或其他问题,我们可能会聘请中立的第三方(例如 CERT/CC、ICS-CERT 或相关监管机构)来帮助确定最好采用哪种方式处理漏洞。

Stryker 的 CVD 流程的所有方面均可能随时更改,恕不另行通知,由 Stryker 自行决定。 不保证特殊层面的回应。

漏洞管理流程

我们的协调漏洞披露 (CVD) 流程包括受监管的医疗设备和健康软件产品,包括医疗设备、医疗设备软件 (SaMD) 和移动医疗应用程序。 它不用于提供有关我们产品的技术支持信息、报告不良事件或提交产品质量投诉。

 

如何报告非产品漏洞

要报告 Stryker 企业基础架构中的非产品漏洞,请使用 Stryker 企业 IT 漏洞披露计划(网址为 bugcrowd.com/stryker-vdp)与我们联系。

 

如何提交漏洞

如果您发现我们的某种医疗设备、医疗设备软件 (SaMD) 或移动医疗应用程序存在潜在漏洞,请使用以下表格向 Stryker 的产品安全团队提交漏洞报告。

要报告与 Stryker 产品相关的不良事件 产品质量投诉,请访问 
stryker.com/productexperience

漏洞提交表格

我们希望在您的提交中看到什么

  • 用英文撰写的报告。
  • 包含概念验证代码的报告,便于我们进行分类。
  • 您发现漏洞的方式,漏洞造成的影响以及任何可能的补救措施。
  • 公开披露的任何计划或意图。
  • 注意: 仅包含故障转储或其他自动工具输出的报告可能具有较低的优先级。