Produktsikkerhed
Hos Stryker bekymrer vi os dybt om sikkerheden af vores produkter, fordi vi ved, hvor vigtige de er. Vores dedikerede produktsikkerhedsteam arbejder utrætteligt på at implementere robuste sikkerhedsforanstaltninger og samarbejder med samarbejdspartnere i branchen for løbende at forbedre vores sikkerhedspraksis. Vi tager en proaktiv sikkerhedstilgang for at være på forkant med nye trusler og træffe passende foranstaltninger for at løse sårbarheder. Din tillid er vores topprioritet, og vi er forpligtet til at beskytte de produkter og data, du er afhængig af at kunne stole på.
Vores engagement og forpligtelse
Vi udfører grundige sikkerhedsvurderinger af vores produkter i hele deres livscyklus for at identificere og afbøde potentielle sårbarheder. Sikkerhed er en integreret del i alle faser af vores produktudviklingsproces, fra design til implementering, hvorved vi sikrer, at det er en grundlæggende bestanddel i alt, hvad vi gør.
Vores fokus
Design og udvikling af udstyr
- Under design- og udviklingsfaserne af nyt medicinsk udstyr implementerer vi sikkerhedsforanstaltninger, der inkluderer opstilling af trusselsmodeller, risikovurderinger og indlejring af sikkerhedskontrol i produktarkitekturen.
- Samarbejde mellem ingeniør-, cybersikkerheds-, privatlivs- og myndighedsgodkelselsesteams danner grundlag for en holistisk tilgang til implementering af bedste sikkerhedspraksis inden for produktinnovation.
- Vi sikrer, at sikkerheden taget i betragtning allerede fra de indledende designstadier for at afbøde potentielle sårbarheder og trusler, der kan påvirke patientsikkerheden eller kompromittere følsomme data.
Forsyningskæde
- Sikkerheden i forsyningskæden har fokus på at mindske risici forbundet med indkøb, fremstilling, distribution og vedligeholdelse af medicinsk udstyr.
- Vi samarbejder tæt med leverandører og samarbejdspartnere for at fastlægge sikkerhedskrav, udføre grundige vurderinger og sikre integriteten af komponenter og software, der indgår i deres produkter.
- Foranstaltninger såsom sikker kodningspraksis, firmwarevalidering og sikre distributionskanaler hjælper med at forhindre manipulation, forfalskning eller uautoriserede ændringer i hele forsyningskæden.
Hændelsesberedskab og sårbarhedshåndtering
- Stryker har implementeret robuste hændelsesrespons- og sårbarhedshåndteringsprocesser for omgående at opdage, vurdere og afhjælpe sikkerhedsproblemer. Dette omfatter etablering af kommunikationsprotokoller, koordinering af reaktionsbestræbelser med kunder og regulatorer, udstedelse af rettidige patches eller opdateringer og udførelse af anmeldelser efter hændelsen.
- På trods af proaktive sikkerhedsforanstaltninger kan sårbarheder og hændelser stadig forekomme i medicinsk udstyrs livscyklus.
Sundhedspartnerskaber
- Vores fageksperter deltager sammen med branchegrupper for at fremme cybersikkerhedsprincipper og branchens bedste praksis.
- Vi fremmer en kultur af gennemsigtighed og samarbejde med kunder, branchens interessenter og leverandører for at styrke sikkerheden.
- Vi hjælper med udviklingen af branchespecifikke rammer, tekniske papirer og proaktive engagementer med regulatorer for at hjælpe med at gøre sundhedsbehandlingen bedre.
Seneste sikkerhedsmeddelelser
Samordnet afsløring af sårbarheder for produkter (CVD)
Sikkerhedsforskere spiller en rolle i at identificere cybersikkerhedssårbarheder og -bekymringer. Stryker har en proces for samordnede rapporteringsproces om sårbarhed (CVD, Coordinated Vulnerability Disclosure) for at fremme samarbejde og effektiv rapportering af eventuelle sårbarheder i Strykers medicinske udstyrs.
Vigtig information om vores CVD-proces
Vi arbejder i god tro med forskere og parter, der tester vores produkter, og vil ikke anlægge sag mod enkeltpersoner, der indsender indberetninger gennem vores CVD-proces. Din brug af denne proces betragtes som en juridisk aftale med Stryker.
Vi indvilliger i at arbejde med enkeltpersoner, der:
- Påtager sig at teste systemer/udfører research uden at skade Stryker eller dennes kunder.
- Udfører test på produkter uden at påvirke kunder eller modtager tilladelse/samtykke fra kunder, før de påtager sig at teste for sårbarhed i forhold til deres udstyr/software.
- Påtager sig at sårbarhedsteste i henhold til vores CVD-program i overensstemmelse med vilkår og betingelser i de aftaler, der er indgået mellem Stryker og enkeltpersoner.
- Overholder lovgivningen der, hvor de er, samt hvor Stryker er placeret.
- Afstår fra at videregive detaljer om sårbarhed før enhver gensidigt aftalt tidsfrist udløber.
Hvis du beslutter dig for at dele enhver form for oplysninger med Stryker, accepterer du, at de oplysninger, du giver, bliver behandlet som ikke-fortrolige, og at Stryker har lov til at anvende sådanne oplysninger på enhver måde, helt eller delvist, uden nogen form for begrænsning. Desuden accepterer du, at når du indsender oplysninger, så opnår du ikke nogen rettigheder, og indsendelsen indebærer heller ingen forpligtelse for Stryker.
Hvad du kan forvente af os
- Vi vil give et betimeligt svar på din e-mail (inden for 10 hverdage).
- Vi vil videreformidle eventuelle resultater til de relevante produktteams med henblik på kontrol og reproduktion af problemet. Du kan på dette tidspunkt blive kontaktet og bedt om at give yderligere oplysninger.
- Efter undersøgelsen af en indberetning vil vi bekræfte forekomsten af sårbarhed og de potentielle konsekvenser. Hvis det afgøres, at den identificerede sårbarhed påvirker patientsikkerheden, vil vi bestræbe os på hurtigt at udvikle en løsning og træffe passende foranstaltninger. Alle andre sårbarheder bliver evalueret og håndteret med udgangspunkt i den tilknyttede risiko.
- Vi vil diskutere sager eller problemer i åben dialog.
- Vi vil give besked når sårbarhedsanalysen har været gennem alle trin i vores gennemgang.
- Hvis det ønskes, vil vi give besked, når sårbarheden er blevet valideret og løst.
Vi bestræber os på altid at være så transparente som muligt i forbindelse med varigheden af afhjælpning samt problemer eller udfordringer, der måtte være involveret.
Hvis vi ikke kan løse kommunikationsproblemer eller andre problemer, kan vi tage en neutral tredjepart med på råd (f.eks. CERT/CC, ICS-CERT, eller den relevante tilsynsmyndighed) for at hjælpe med at bestemme, hvordan vi bedst kan håndtere sårbarheden.
Alle aspekter af Strykers CVD-proces kan ændres uden varsel efter Strykers eget skøn. Der garanteres ikke noget særligt svarniveau.
Sårbarhedshåndteringsproces
Vores samordnede rapporteringsproces om sårbarhed (CVD) omfatter lovreguleret medicinsk udstyr og sundhedssoftwareprodukter, herunder medicinsk udstyr, software som medicinsk udstyr (SaMD) og mobile medicinske applikationer. Den er ikke beregnet til at give teknisk supportoplysninger om vores produkter, til rapportering af uønskede hændelser eller til indsendelse af produktkvalitetsklager.
Sådan indberettes ikke-produktrelaterede sårbarheder
For at indberette ikke-produktrelaterede sårbarheder i Strykers virksomhedsinfrastruktur bedes du kontakte os ved hjælp af Stryker Enterprise IT Vulnerability Disclosure Program på bugcrowd.com/stryker-vdp.
Sådan indberettes en sårbarhed
Hvis du har identificeret en potentiel sårbarhed med noget af vores medicinske udstyr, software som medicinsk udstyr (SaMD) eller mobile medicinske applikationer, bedes du bruge formularen nedenfor til at indsende en sårbarhedsrapport til Strykers produktsikkerhedsteam.
I tilfælde af indberetning af utilsigtede hændelser eller klager over produktkvalitet i forbindelse med produkter fra Stryker bedes du gå ind på
stryker.com/productexperience.
Indsendelse af formular om sårbarhed
Hvad vi gerne vil se fra dig i din indsendelse
- Indberetninger skrevet på engelsk.
- Indberetninger med proof of concept-kode, som vil ruste os til bedre at kunne sortere.
- Hvordan du fandt sårbarheden, hændelsen og eventuel afhjælpning.
- Eventuelle planer eller hensigter om offentliggørelse.
- Bemærk: Indberetninger, der kun omfatter crashdump eller anden automatiseret program-output kan få lavere prioritet.
DRE-GSNPS-PPT-1185510