Estamos empenhados em assegurar a segurança, eficácia e segurança dos nossos produtos. A cibersegurança dos nossos produtos e da nossa infraestrutura de clientes formam uma parte integrante dos nossos esforços.

Os investigadores de segurança desempenham um papel em identificar as vulnerabilidades e questões de cibersegurança. O nosso objetivo é criar uma colaboração eficaz com a comunidade de investigação que nos permita entender as suas descobertas. Estamos introduzir o nosso Processo de Divulgação Coordenada de Vulnerabilidades para promover a colaboração e a comunicação de vulnerabilidades dos dispositivos médicos, conforme descrito abaixo.

O âmbito do nosso programa de divulgação de vulnerabilidades inclui Dispositivos Médicos, Software enquanto Dispositivo Médico e Aplicações Médicas Móveis. Não se destina a facultar informações de apoio técnico sobre os nossos produtos ou a comunicar Eventos Adversos ou Reclamações sobre Qualidade do Produto.

Para comunicar um evento adverso ou apresentar uma reclamação sobre a qualidade dos produtos, contacte-nos em stryker.com/productexperience.

Como submeter uma vulnerabilidade

Caso tenha identificado uma vulnerabilidade potencial de segurança com um dos nossos Dispositivos Médicos, Software enquanto Dispositivo Médico ou Aplicações Médicas Móveis, submeta um relatório de vulnerabilidade à Equipa de Segurança de Produto da Stryker preenchendo o seguinte formulário e enviando o documento preenchido por e-mail para ProductSecurity@stryker.com.

Informações importantes:
 

Não iremos intentar ações judiciais contra indivíduos que submetam relatórios através do nosso processo de Comunicação de Vulnerabilidades e entrem em acordo legal connosco. Aceitamos trabalhar com indivíduos que:    

• Participam em testes a sistemas/investigação sem prejudicar a Stryker ou os seus clientes.    
• Realizam testes em produtos sem afetar os clientes ou recebem permissão/consentimento dos clientes antes de participarem em testes de vulnerabilidade dos seus dispositivos/software, etc.  
• Participam em testes de vulnerabilidade no âmbito do nosso programa de divulgação de vulnerabilidades em conformidade com os termos e condições de todos os acordos celebrados entre a Stryker e os indivíduos.
• Aderem às leis da localização em que se encontram e da localização da Stryker. Por exemplo, transgredir leis que resultem apenas numa reclamação da Stryker (e não numa ação civil) pode ser aceitável dado que a Stryker está a autorizar a atividade (engenharia inversa ou contorno das medidas de proteção) para melhorar o seu sistema.
• Se abstenham de comunicar detalhes de vulnerabilidade antes de qualquer período temporal aceite mutuamente expirar.
  

Preferência, estabelecimento de prioridades e critérios de aceitação
Iremos utilizar os seguintes critérios para estabelecer a ordem de prioridades e a efetuar a triagem das submissões.   

O que gostaríamos que nos enviasse:

• Relatórios escritos em inglês.  
• Relatórios que incluem código de comprovação de conceito, que nos irá facilitar o processo de triagem.   
• Como encontrou a vulnerabilidade, o impacto e qualquer solução potencial.   
• Quaisquer planos ou intenções de divulgação pública.   

Nota: os relatórios que incluem apenas "crash dumps" ou informações sobre ferramentas automáticas que possam receber baixa prioridade.

O que pode esperar de nós:   

• Uma resposta atempada ao seu e-mail (dento de 5 dias úteis).
• Iremos encaminhar as descobertas potenciais para equipas de produto adequadas para fins de verificação e reprodução. Neste ponto, o utilizador pode ser contactado para facultar informações adicionais.  
• Após análise do relatório, iremos confirmar a existência da vulnerabilidade e o impacto potencial.  Se se determinar que a vulnerabilidade identificada afeta a segurança do paciente, iremos trabalhar rapidamente para desenvolver uma resolução e empreender as medidas apropriadas. Todas as outras vulnerabilidades serão avaliadas e abordadas de acordo com o risco associado.
• Um diálogo aberto para debater problemas.   
• Notificação depois de a análise da vulnerabilidade ter concluído cada etapa da revisão.   
• Crédito depois de a vulnerabilidade ter sido validada e resolvida, se desejado.   
• Estamos empenhados em ser tão transparentes quanto possível relativamente ao período temporal de reparação e aos problemas ou desafios que possam surgir.  
• Se não conseguirmos resolver problemas de comunicação ou de outro tipo, podemos contratar uma entidade externa neutra (como a CERT/CC, ICS-CERT ou o organismo regulador relevante) para nos ajudar a determinar a melhor forma de lidar com a vulnerabilidade.   

Todos os aspetos deste processo estão sujeitos a modificação sem aviso prévio, incluindo as exceções relativas a casos individuais. Não é garantido nenhum nível particular de resposta.

Aviso

Caso decida partilhar qualquer informação com a Stryker, aceita que as informações que submeter serão consideradas não proprietárias e não confidenciais, e que a Stryker está autorizada a utilizar estas informações de qualquer forma, parcial ou no todo, sem qualquer restrição. Além disso, aceita que a submissão de informações não lhe confere quaisquer direitos nem qualquer obrigação à Stryker.

No âmbito do nosso compromisso com a segurança dos produtos e o apoio ao cliente, facultamos aos nossos utilizadores informações para os ajudar a avaliar e lidar com as vulnerabilidades e riscos.

Especificamente, utilizamos a Declaração de Divulgação do Fabricante relativa à Segurança de Dispositivos Médicos (MDS²) para facultar informações de segurança sobre os nossos produtos.

A MDS² contém informações específicas sobre os produtos relacionadas com as capacidades dos dispositivos, tais como:    

• Manutenção, armazenamento e transmissão de ePHI 
• Criação de cópias de segurança de dados e meios amovíveis
• Instalação de patches de segurança e software antivírus
• Acesso a serviços remotos
• Registos de auditoria de acesso a ePHI, incluindo: visualizar; criar, modificar e eliminar registos; importar/exportar

O MDS², um formulário de divulgação universal que nos permite facultar aos nossos clientes informações específicas do modelo, é patrocinado pelo American College of Clinical Engineering (ACCE), ECRI (anteriormente Emergency Care Research Institute), a National Electrical Manufacturers Association (NEMA) e a Healthcare Information and Management Systems Society (HIMSS).

O formulário também contém recomendações de prática de segurança e notas explicativas do fabricante.