제품 보안
Stryker는 보안과 안전이 얼마나 중요한지 잘 알고 있기에, 이를 매우 중요하게 생각합니다. 제품 보안 전담 팀은 강력한 보안 조치를 구현하기 위해 끊임없이 노력하고 있으며 업계 파트너와 협력하여 보안 관행을 지속적으로 개선하고 있습니다. Stryker는 새로운 위협에 한발 앞서 대응하고, 취약성을 해결하기 위한 적절한 조치를 취하기 위해 사전 예방적인 보안 접근 방식을 취합니다. 저희는 여러분의 신뢰를 최우선으로 생각하며, 여러분이 신뢰하며 사용하는 제품 및 데이터를 보호하기 위해 최선을 다하고 있습니다.
우리의 약속
당사는 제품 수명 주기 전반에 걸쳐 제품에 대한 철저한 보안 평가를 실시하여 잠재적인 취약성을 식별하고 완화합니다. 보안은 설계부터 배포까지 제품 개발 프로세스의 모든 단계에 통합되어 있으며 모든 작업의 기본 요소로 자리잡고 있습니다.
우리의 초점
기기 설계 및 개발
- 새로운 의료 기기의 설계 및 개발 단계에서는 위협 모델링, 위험 평가, 제품 아키텍처에 보안 제어 기능을 내장하는 등의 보안 조치를 구현합니다.
- 엔지니어링, 사이버 보안, 개인정보 보호, 규제 팀 간의 협업은 제품 혁신에서 보안 모범 사례를 구현하기 위한 포괄적인 접근 방식을 알려줍니다.
- 우리는 초기 설계 단계부터 보안을 고려하여 환자 안전에 영향을 미치거나 민감한 데이터를 손상시킬 수 있는 잠재적 취약성과 위협을 완화합니다.
공급망
- 공급망 보안은 의료 기기의 조달, 제조, 유통 및 유지 관리와 관련된 위험을 완화하는 데 중점을 둡니다.
- 당사는 공급업체 및 파트너와 긴밀히 협력하여 보안 요구사항을 수립하고, 철저한 평가를 수행하며, 제품에 통합된 구성 요소 및 소프트웨어의 무결성을 보호합니다.
- 보안 코딩 관행, 펌웨어 유효성 검사, 안전한 배포 채널 등의 조치는 공급망 전체에서 변조, 위조 또는 무단 수정을 방지하는 데 도움이 됩니다.
사고 대응 및 취약성 관리
- Stryker는 보안 문제를 신속하게 감지, 평가 및 완화하기 위해 강력한 사고 대응 및 취약성 관리 프로세스를 구현했습니다. 여기에는 커뮤니케이션 프로토콜 수립, 고객 및 규제 기관과의 대응 노력 조율, 적시에 패치 또는 업데이트 배포, 사고 후 검토 수행 등이 포함됩니다.
- 사전 예방적 보안 조치에도 불구하고 의료 기기의 수명 주기 동안 취약성 및 사고가 발생할 수 있습니다.
의료 서비스 파트너십
- 주제별 전문가들이 업계 그룹과 함께 협력하여 사이버 보안 원칙과 업계 모범 사례를 발전시킵니다.
- 보안 강화를 위해 고객, 업계 이해관계자 및 공급업체와 투명하고 협력하는 문화를 조성하고 있습니다.
- 더 나은 의료 서비스를 제공하기 위해 업계 프레임워크, 기술 문서 개발, 규제 기관과의 선제적 참여를 지원합니다.
제품 취약성 공개 협업(CVD)
보안 연구원은 사이버 보안 취약성과 우려 사항을 파악하는 역할을 합니다. Stryker는 Stryker 의료 기기 취약성에 대한 협업 및 효과적인 보고를 촉진하기 위해 취약성 공개 협업(CVD) 프로세스를 운영하고 있습니다.
CVD 프로세스에 대한 중요 정보
당사는 제품을 테스트하는 연구자 및 당사자들과 성실하게 협력하며, CVD 프로세스를 통해 보고서를 제출하는 개인에 대해 법적 조치를 취하지 않습니다. 귀하가 이 프로세스를 사용하는 것은 Stryker와의 합법적 계약으로 간주됩니다.
Stryker는 다음과 같은 개인과 협력하는 데 동의합니다.
- Stryker 또는 고객에게 피해를 주지 않고 시스템/연구 테스트에 참여하는 자.
- 고객에게 영향을 미치지 않으면서 제품에 대한 테스트를 수행하거나 의료기기/소프트웨어 등에 대한 취약성 테스트에 참여하기 전에 고객으로부터 허가/동의를 받은 자.
- Stryker와 개인 간에 체결된 모든 계약의 약관에 따라 Stryker의 CVD 프로그램의 범위 내에서 취약성 테스트에 참여하는 자.
- 개인이 거주하는 지역 및 Stryker가 소재한 지역의 현지 법률을 준수하는 자.
- 상호 합의된 기한이 만료되기 전에 취약성 세부 사항을 공개하지 않는 자.
귀하는 Stryker와 모든 정보를 공유하기로 결정하는 경우, 귀하는 귀하가 제출하는 정보가 비독점 및 비기밀 정보로 간주되며 Stryker가 해당 정보의 전체 또는 일부를 어떠한 제한 없이 사용할 수 있다는 데 동의합니다. 또한, 귀하는 정보를 제출한다고 해서 귀하에 대한 권리나 Stryker에 대한 의무가 발생하지 않는다는 데 동의합니다.
Stryker에게 기대할 수 있는 점
- Stryker는 이메일에 대한 신속한 대응(영업일 기준 10일 이내)을 제공합니다.
- Stryker는 검증 및 재현을 위해 잠재적 조사 결과를 해당 제품 팀에 전달합니다. 이 단계에서 귀하에게 연락을 취해 추가 정보를 제공하도록 요청할 수 있습니다.
- Stryker에서는 보고서를 조사한 후에 취약성 여부와 잠재적 영향을 확인할 것입니다. 파악된 취약성이 환자의 안전에 영향을 미치는 것으로 판단되는 경우, Stryker는 해결방안을 개발하고 적절한 조치를 취하기 위해 신속하게 대처할 것입니다. 모든 기타 취약성은 관련 위험을 토대로 평가를 거쳐 해결될 것입니다.
- Stryker는 공개적인 대화를 통해 문제를 논의할 것입니다.
- Stryker는 취약성 분석에서 각 검토 단계를 완료했을 때 알림을 제공합니다.
- 원하는 경우 취약성이 검증 및 해결된 후에 인정을 제공합니다.
Stryker는 개선 일정과 수반될 수 있는 문제 또는 당면 과제에 대해 가능한 한 투명성을 유지하기 위해 최선의 노력을 기울이고 있습니다.
커뮤니케이션 문제를 비롯한 모든 문제를 해결할 수 없는 경우, 최상의 취약성 처리 방안을 결정하는 데 있어서 지원을 받기 위해 중립적인 제3자(예: CERT/CC, ICS-CERT 또는 기타 관련 규제기관)를 참여시킬 수 있습니다.
Stryker CVD 공정의 모든 측면은 스트라이커의 단독 재량에 따라 예고 없이 변경될 수 있습니다. 특정 수준의 대응은 보장되지 않습니다.
취약성 관리 프로세스
당사의 조정된 취약성 공개(CVD) 프로세스에는 의료 기기, 의료 기기용 소프트웨어(SaMD), 모바일 의료 애플리케이션을 비롯한 규제 대상 의료 기기 및 건강 소프트웨어 제품이 포함됩니다. 제품에 대한 기술 지원 정보를 제공하거나 부작용을 보고하거나 제품 품질에 대한 불만 사항을 제출하기 위한 용도로는 사용되지 않습니다.
비 제품 취약성을 보고하는 방법
Stryker 기업 인프라의 비 제품 취약성을 보고하려면 bugcrowd.com/stryker-vdp에서 Stryker Enterprise IT 취약성 공개 프로그램을 통해 문의해 주시기 바랍니다.
취약성 정보 제출 방법
당사의 의료 기기, 의료 기기로서의 소프트웨어(SaMD) 또는 모바일 의료 애플리케이션 중 하나에서 잠재적인 취약성을 발견한 경우 아래 양식을 사용하여 Stryker 제품 보안 팀에 취약성 보고서를 제출해 주시기 바랍니다.
Stryker 제품 관련 유해 사례 또는 제품 품질 불만을 보고하려면 다음을 방문하시기 바랍니다.
stryker.com/productexperience.
취약성 제출 양식
제출물에서 기대하는 내용
- 영어로 작성된 보고서.
- 더욱 효과적으로 분류할 수 있도록 개념 증명 코드가 포함된 보고서.
- 취약성, 영향 및 잠재적 개선 사항을 파악하는 방법.
- 공개를 위한 모든 계획이나 의도.
- 참고: 크래시 덤프 또는 기타 자동화된 도구 출력만 포함하는 보고서는 우선 순위가 낮을 수 있습니다.
DRE-GSNPS-PPT-1185510