Estamos comprometidos a garantizar la seguridad y eficacia de nuestros productos. La ciberseguridad de nuestros productos y la infraestructura de nuestros clientes es una parte integral de nuestro enfoque.

Los investigadores de seguridad desempeñan una función en la identificación de las vulnerabilidades y preocupaciones relativas a la ciberseguridad. Nuestro objetivo es asociarnos de manera eficaz con la comunidad investigadora para entender sus descubrimientos. Presentamos nuestro primer Proceso Coordinado de Divulgación de Vulnerabilidades para fomentar la colaboración y la notificación de las vulnerabilidades de los dispositivos médicos como se describe a continuación.

El alcance del programa de notificación de vulnerabilidades incluye dispositivos médicos, software como dispositivo médico y aplicaciones médicas móviles. No es un programa para facilitar información de asistencia técnica sobre nuestros productos o para notificar incidentes adversos o quejas relativas a la calidad del producto.

Para notificar un incidente adverso o una queja relativa a la calidad del producto, póngase en contacto con nosotros en stryker.com/productexperience.

Cómo presentar una vulnerabilidad

Si ha identificado una posible vulnerabilidad de seguridad en uno de nuestros dispositivos médicos, software como dispositivo médico o aplicaciones médicas móviles, envíe un informe de vulnerabilidad al Equipo de Seguridad de Producto de Stryker; para ello rellene el siguiente formulario y envíe por correo electrónico el documento completado a ProductSecurity@stryker.com.

Información importante:
 

No emprenderemos acciones legales contra personas que envíen informes a través de nuestro proceso de Notificación de Vulnerabilidades y firmen un acuerdo legal con nosotros. Accedemos a trabajar con personas que:    

• Participen en el análisis de sistemas/investigaciones sin dañar a Stryker ni a sus clientes.    
• Realicen pruebas de productos sin afectar a nuestros clientes o reciban el permiso/consentimiento de los clientes antes de participar en análisis de vulnerabilidad en sus dispositivos/software, etc.  
• Participen en análisis de vulnerabilidad dentro del alcance de nuestro programa de divulgación de vulnerabilidades de acuerdo con los términos y condiciones de cualquier acuerdo firmado entre Stryker y personas individuales.
• Cumplan con las leyes de su ubicación y de la ubicación de Stryker. Por ejemplo, el incumplimiento de leyes que podrían provocar una demanda por parte de Stryker (y no una demanda penal) puede ser aceptable si Stryker autoriza la actividad (por ejemplo, realizar ingeniería inversa o eludir medidas de protección) para mejorar su sistema.
• Se abstengan de divulgar detalles de la vulnerabilidad antes de que caduque el período acordado mutuamente.
  

Criterios de preferencias, priorización y aceptación
Utilizaremos los siguientes criterios para priorizar y clasificar las notificaciones recibidas.   

Lo que esperamos que nos proporcione:

• Informes escritos en inglés.  
• Informes con código de prueba de concepto, para ayudarnos a realizar la clasificación.   
• Cómo ha detectado la vulnerabilidad, el impacto y cualquier posible solución.   
• Cualquier plan o intención para la divulgación pública.   

Nota: Los informes que incluyan únicamente volcados de memoria o resultados de herramientas automáticos pueden recibir una prioridad inferior.

Lo que puede esperar de nosotros:   

• Una respuesta rápida a su correo electrónico (durante los 5 días laborables siguientes).
• Dirigiremos los resultados posibles a los correspondientes equipos de producto para su verificación y reproducción. En esta fase, es posible que nos pongamos en contacto con usted para que nos facilite información adicional.  
• Tras una investigación del informe, confirmaremos la existencia de la vulnerabilidad y el posible impacto.  Si se determina que la vulnerabilidad identificada va a causar un impacto en la seguridad del paciente, trabajaremos sin demora hasta elaborar una solución y adoptar la acción correspondiente. El resto de las vulnerabilidades se evaluarán y solucionarán en función del riesgo asociado.
• Un diálogo abierto para hablar de los problemas.   
• Notificación de cuando el análisis de vulnerabilidad haya completado cada fase de nuestra revisión.   
• Reconocimiento una vez se haya validado y resuelto la vulnerabilidad, si así lo desea.   
• Nos comprometemos a ser todo lo transparentes que podamos en cuanto al plazo de solución y a los problemas y desafíos que puedan surgir.  
• Si no somos capaces de resolver problemas de comunicación o de otro tipo, puede que incorporemos a una tercera parte neutral (como CERT/CC, ICS-CERT o el organismo regulador correspondiente) para que nos ayude a determinar el mejor modo de gestionar la vulnerabilidad.   

Todos los aspectos de este proceso están sujetos a cambio sin previo aviso, así como a excepciones en función de cada caso. No se garantiza ningún nivel concreto de respuesta.

Aviso

En caso de que decida compartir cualquier información con Stryker, acepta que la información que envíe se considerará como pública y no confidencial y que Stryker puede usarla del modo en que desee, de manera completa o parcial, sin ninguna restricción. Además, acepta que el envío de información no le otorga ningún derecho ni establece ninguna obligación para Stryker.

Como parte de nuestro compromiso con la seguridad de los productos y el servicio al cliente, brindamos información a nuestros clientes para ayudarles a evaluar y abordar las vulnerabilidades y los riesgos.

Específicamente, usamos la Declaración del Fabricante sobre Divulgación de la Seguridad de los Dispositivos Médicos (Medical Device Security, MDS²) para proporcionar información sobre la seguridad de nuestros productos.

La MDS² contiene información sobre la seguridad específica de los productos relacionada con las capacidades de los dispositivos, por ejemplo:

• Mantenimiento, almacenamiento y transmisión de la información electrónica de salud protegida (electronic protected health information, ePHI) 
• Copia de seguridad de datos y capacidades de medios extraíbles
• Instalación de revisiones de seguridad y software antivirus
• Acceso remoto al servicio
• Registros de auditoría del acceso a ePHI que incluyen: visualización; creación, modificación y eliminación de registros; importación/exportación

La MDS², un formulario de comunicación universal que nos permite brindarles a nuestros clientes información específica del modelo, está avalada por el American College of Clinical Engineering (ACCE), ECRI (anteriormente Emergency Care Research Institute), la National Electrical Manufacturers Association (NEMA) y la Healthcare Information and Management Systems Society (HIMSS).

El formulario también contiene recomendaciones sobre las prácticas de seguridad y notas explicativas del fabricante.