Bezpieczeństwo produktów

Nasza dbałość o bezpieczeństwo produktów

Przywiązujemy ogromną wagę do zapewniania bezpieczeństwa oraz skuteczności naszych produktów. Cyberbezpieczeństwo naszych produktów oraz infrastruktury naszych klientów jest dla nas bardzo ważne.

Najnowsze ogłoszenia dotyczące bezpieczeństwa

Luki w zabezpieczeniach serwera raportów i serwera głosowego Vocera firmy Stryker

Czytaj więcej

Luki w zabezpieczeniach dotyczących bufora wydruku firmy Microsoft (CVE-2021-34527 i CVE-2021-36958)

Czytaj więcej

Biblioteka logowania typu open source Apache „Log4j”

Czytaj więcej

Raport firmy “SweynTooth” dotyczący luk w zabezpieczeniach oprogramowania BLE (ICSA- 20-063-01)

Czytaj więcej

Ujawnianie luk w zabezpieczeniach produktów

Testerzy bezpieczeństwa odgrywają istotną rolę w rozpoznawaniu istniejących oraz potencjalnych luk w zabezpieczeniach. Dążymy do efektywnej współpracy ze społecznością testerów, aby rozumieć wyniki ich pracy. Wprowadzamy naszą pierwszą procedurę skoordynowanego ujawniania luk w zabezpieczeniach, aby promować współpracę oraz zgłaszanie luk w zabezpieczeniach wyrobów medycznych, jak opisano poniżej.

Zakres

Nasz program zgłaszania luk w zabezpieczeniach dotyczy wyrobów medycznych, oprogramowania stanowiącego wyrób medyczny, a także mobilnych aplikacji medycznych. Celem programu nie jest dostarczanie informacji z zakresu wsparcia technicznego dla naszych produktów ani zgłaszanie zdarzeń niepożądanych lub skarg związanych z jakością produktów.

Zdarzenie niepożądane oraz skargi związane z jakością produktu można zgłaszać pod adresem stryker.com/productexperience.

Przesyłanie informacji o luce w zabezpieczeniach

W przypadku wykrycia potencjalnej luki w zabezpieczeniach naszego urządzenia medycznego, oprogramowania stanowiącego wyrób medyczny lub mobilnej aplikacji medycznej należy przesłać zgłoszenie do zespołu ds. bezpieczeństwa produktu w firmie Stryker, wypełniając odpowiedni formularz i wysyłając wypełniony dokument na adres ProductSecurity@stryker.com.

 
Ważne:
 

Nie podejmujemy kroków prawnych wobec osób fizycznych, które przesyłają zgłoszenia w ramach procedury zgłaszania luk w zabezpieczeniach i zawierają z nami umowę prawną. Podejmujemy współpracę z osobami fizycznymi, które:    

  • Angażują się w testowanie systemów/badań bez szkody dla firmy Stryker ani jej klientów.    
  • Angażują się w testowanie produktów bez wpływu na klientów lub po uzyskaniu ich zgody na sprawdzanie ich urządzeń/oprogramowania itp. pod kątem diagnozowania luk w zabezpieczeniach.  
  • Testują, szukając luk w zabezpieczeniach w ramach naszego programu ujawniania luk w zabezpieczeniach, zgodnie z warunkami wszelkich umów zawartych pomiędzy firmą Stryker a osobami fizycznymi.
  • Przestrzegane są przepisy prawa obowiązującego w lokalizacji osoby przeprowadzającej testy oraz w lokalizacji firmy Stryker. Na przykład naruszenie przepisów, które mogłoby skutkować roszczeniem wyłącznie ze strony firmy Stryker (ale nie roszczeniem o charakterze karnym) może być dopuszczalne, ponieważ firma Stryker zezwala na pewne działania (odtwarzanie lub obchodzenie zabezpieczeń) w celu usprawnienia swoich systemów.
  • Szczegółowe informacje o luce w zabezpieczeniach nie mogą być ujawniane przed upływem ustalonego wcześniej wspólnie czasu.

 

Preferencje, priorytety i kryteria przyjęcia
Podczas nadawania priorytetu zgłoszeniom i ich selekcjonowania zastosujemy kryteria opisane poniżej.   

Chcielibyśmy otrzymać:

  • zgłoszenia napisane w języku angielskim;  
  • zgłoszenia zawierające kod potwierdzający słuszność wniosku, co bierzemy pod uwagę podczas selekcjonowania przesłanych informacji;   
  • informacje dotyczące sposobu znalezienia luki w zabezpieczeniach, jej wpływu oraz potencjalnych środków zaradczych;   
  • informacje o ewentualnych planach lub zamiarach publicznego ujawnienia.   

Uwaga: Zgłoszenia zawierające jedynie zrzut awaryjny lub dane z innego narzędzia automatycznego mogą uzyskać niższy priorytet.

 

Co oferujemy:   

  • Szybką odpowiedź na wiadomość e-mail (w ciągu 5 dni roboczych).
  • Przekazanie potencjalnych odkryć odpowiednim zespołom produktowym do weryfikacji i odtworzenia. Na tym etapie możemy poprosić autora zgłoszenia o dodatkowe informacje.  
  • Potwierdzenie istnienia luki w zabezpieczeniach i jej potencjalnego wpływu po zweryfikowaniu zgłoszenia.  Jeśli okaże się, że wykryta luka wpływa na bezpieczeństwo pacjenta, niezwłocznie przystąpimy do opracowywania rozwiązania i podejmiemy stosowne działania. Pozostałe luki będą oceniane i badane z uwzględnieniem wiążącego się z nimi ryzyka.
  • Otwarty dialog w celu omówienia błędów.   
  • Powiadomienie o ukończeniu analizy luki w zabezpieczeniach na każdym etapie weryfikacji.   
  • Na życzenie — podziękowanie po weryfikacji i eliminacji luki.   
  • Zależy nam na maksymalnej transparentności w sprawie terminów eliminacji błędów i rozwiązania ewentualnych problemów powstających w związku z nimi.  
  • Jeśli nie będziemy w stanie rozwiązać problemów komunikacyjnych lub innych, możemy poprosić neutralną stronę zewnętrzną (np. organizacje takie jak CERT/CC, ICS-CERT lub odpowiednie organy regulacyjne) o pomoc w określeniu najlepszego sposobu zajęcia się luką w zabezpieczeniach.   

Wszystkie elementy tej procedury mogą ulec zmianie bez powiadomienia. Dopuszczalne są również wyjątki w poszczególnych przypadkach. Nie gwarantujemy żadnej konkretnej formy odpowiedzi.

 

Uwaga

Decyzja o udostępnieniu jakichkolwiek informacji firmie Stryker jest jednoznaczna z wyrażeniem zgody na uznanie przesłanych informacji za niezastrzeżone i niepoufne oraz na prawo firmy Stryker do wykorzystywania tych informacji w dowolny sposób, w całości lub w części, bez żadnych ograniczeń. Ponadto oznacza uznanie, że przesłanie informacji nie powoduje przyznania osobie przesyłającej jakichkolwiek praw ani powstania zobowiązań po stronie firmy Stryker.

Podczas nadawania priorytetu zgłoszeniom i ich selekcjonowania zastosujemy kryteria opisane poniżej.   

 
Preferencje, priorytety i kryteria przyjęcia
Podczas nadawania priorytetu zgłoszeniom i ich selekcjonowania zastosujemy kryteria opisane poniżej.   

Deklaracja producenta wyrobów medycznych dotycząca bezpieczeństwa

W ramach dbałości o bezpieczeństwo produktów i jakość obsługi klienta przekazujemy naszym klientom informacje ułatwiające ocenę luk w zabezpieczeniach oraz zagrożeń, a także podjęcie odpowiednich działań.

W szczególności publikujemy deklarację producenta wyrobów medycznych dotyczącą bezpieczeństwa (Manufacturer Disclosure Statement for Medical Device Security — MDS²), która zawiera informacje na temat bezpieczeństwa naszych produktów.

Deklaracja MDS² zawiera informacje dotyczące bezpieczeństwa konkretnego produktu w odniesieniu do zdolności urządzeń do:    

  • utrzymywania, przechowywania i przesyłania chronionych elektronicznie informacji zdrowotnych (ePHI); 
  • tworzenia kopii zapasowej danych oraz funkcji nośników wymiennych;
  • instalowania poprawek zabezpieczeń oraz oprogramowania antywirusowego;
  • usuwania dostępu serwisowego;
  • dostępu do dzienników audytowych z danymi ePHI, w tym: przeglądania, tworzenia, modyfikowania i usuwania rekordów, importowania i eksportowania.

Deklaracja MDS², uniwersalny formularz sprawozdawczy, który umożliwia dostarczenie klientom informacji na temat konkretnego modelu, jest uznawana przez American College of Clinical Engineering (ACCE), ECRI (dawniej Emergency Care Research Institute), National Electrical Manufacturers Association (NEMA) oraz Healthcare Information and Management Systems Society (HIMSS).

Dokument zawiera także zalecenia związane z bezpiecznym użytkowaniem urządzenia oraz uwagi producenta wraz z odpowiednimi objaśnieniami.