hero-mobile-v3

A segurança está no centro da nossa atividade.
hero-mobile-v3

A segurança dos produtos não é apenas uma caraterística, mas sim um ponto fulcral no que concerne a proteção das nossas soluções.
X

Segurança dos produtos | Stryker

Segurança dos produtos

Na Stryker, preocupamo-nos profundamente com a segurança dos nossos produtos porque sabemos como isso é importante. A nossa equipa dedicada no que concerne a Segurança de Produtos trabalha incansavelmente para implementar medidas de segurança robustas e colabora com parceiros da indústria para melhorar continuamente as nossas práticas de segurança. Adotamos uma abordagem de segurança proativa para nos mantermos na vanguarda das ameaças emergentes e para tomarmos as medidas adequadas para resolver potenciais vulnerabilidades. A sua confiança é a nossa principal prioridade e estamos empenhados em proteger os produtos e os dados de que depende.

Informações sobre assistência relativa ao produto

Cibersegurança empresarial

  

O nosso compromisso

Efetuamos avaliações de segurança completas no que concerne os nossos produtos ao longo do seu ciclo de vida de forma a identificar e a atenuar potenciais vulnerabilidades. A segurança está integrada em todas as fases do nosso processo de desenvolvimento de produtos, desde a sua conceção à sua implementação, assegurando que se trata de um elemento fundamental em tudo aquilo que fazemos.

 

 

O nosso objetivo

  

Ícone de ideia

Design e desenvolvimento do dispositivo

  • Durante as fases de design e desenvolvimento de novos dispositivos médicos, implementamos medidas de segurança que incluem a modelação de ameaças, avaliações de risco e a incorporação de controlos de segurança na arquitetura do produto.
  • A colaboração entre as equipas de engenharia, de cibersegurança, de privacidade e de regulamentação permite uma abordagem holística de forma a implementar as melhores práticas de segurança quanto à inovação de produtos.
  • Garantimos que a segurança é tida em conta desde as fases iniciais do design, de forma a atenuar potenciais vulnerabilidades e ameaças que possam afetar a segurança dos doentes ou comprometer dados sensíveis.

  

Ícone de bloqueio

Cadeia de abastecimento
 

  • A segurança da cadeia de abastecimento centra-se na redução dos riscos associados com a aquisição, fabrico, distribuição e manutenção de dispositivos médicos.
  • Colaboramos estreitamente com fornecedores e parceiros para estabelecer requisitos de segurança, efetuar avaliações exaustivas e salvaguardar a integridade de componentes e software integrados nos seus produtos.
  • Certas medidas tais como práticas de codificação seguras, validação de firmware e canais de distribuição seguros ajudam a evitar adulterações, contrafações ou modificações não autorizadas ao longo da cadeia de abastecimento.

  

Ícone de suporte

Resposta a incidentes e gestão de vulnerabilidades

  • A Stryker implementou processos robustos de resposta a incidentes e de gestão de vulnerabilidades com o intuito de detetar, avaliar e mitigar de forma oportuna os problemas de segurança. Isto inclui o estabelecimento de protocolos de comunicação, a coordenação de esforços de resposta com clientes e reguladores, a emissão de correções ou atualizações atempadas e a realização de análises pós-incidente.
  • Apesar das medidas de segurança proativas, existe a possibilidade de ocorrerem vulnerabilidades e incidentes durante o ciclo de vida dos dispositivos médicos.

  

Ícone de aprovação

Parcerias no setor da saúde
 

  • Os nossos especialistas no assunto participam em grupos do setor com o intuito de promoverem os princípios de cibersegurança e as melhores práticas do setor.
  • Promovemos uma cultura de transparência e colaboração com clientes, partes interessadas do setor e fornecedores com o intuito de reforçar a segurança.
  • Ajudamos a desenvolver estruturas industriais, documentos técnicos e compromissos proativos com os reguladores, de forma a ajudar a melhorar os cuidados em termos de saúde.

  

Últimos avisos de segurança

Vulnerabilidades do spooler de impressão da Microsoft (CVE-2021-34527 e CVE-2021-36958)

Read More

Biblioteca de registo Apache open source “Log4j”

Read More

Vulnerabilidades "Urgent 11" - Wind River VxWorks (ICSA-19-211-01)

Read More

Boletim sobre a vulnerabilidade RDP do Microsoft Windows (CVE-2019-0708)

Read More
VIEW ALL ARTICLES

 

 

Relatório de divulgação coordenada de vulnerabilidades do produto (CVD)

Os investigadores de segurança desempenham um papel crucial na identificação das vulnerabilidades e preocupações a ter em conta em matéria de cibersegurança. A Stryker tem um processo de Divulgação Coordenada de Vulnerabilidades (CVD) com o intuito de promover a colaboração e a comunicação efetiva das vulnerabilidades dos dispositivos médicos da Stryker.

 

  

Importante

  

Informações importantes sobre o nosso processo de CVD

Trabalhamos de boa fé com os investigadores e com as partes que testam os nossos produtos e não nos iremos envolver em ações legais contra indivíduos que apresentem relatórios através do nosso processo de CVD. A utilização deste processo por parte do utilizador é considerada um acordo legal com a Stryker.

Aceitamos trabalhar com indivíduos que:

  • participam em testes de sistemas/investigação sem prejudicar a Stryker ou os seus clientes.
  • realizam testes em produtos sem afetar os clientes ou recebem permissão/consentimento por parte dos clientes antes de participarem em testes de vulnerabilidade dos seus dispositivos/software, etc.
  • participam em testes de vulnerabilidade no âmbito do nosso programa de CVD em conformidade com os termos e condições de todos os acordos celebrados entre a Stryker e os indivíduos.
  • aderem às leis da localização onde se encontram e da localização da Stryker.
  • se abstenham de comunicar detalhes de vulnerabilidade antes de expirar qualquer período temporal aceite mutuamente.

Caso decida partilhar qualquer informação com a Stryker, aceita que as informações que submeter serão consideradas não proprietárias e não confidenciais, e que a Stryker está autorizada a utilizar estas informações de qualquer forma, parcial ou no todo, sem qualquer restrição. Além disso, aceita que a submissão de informações não lhe confere quaisquer direitos nem qualquer obrigação à Stryker.

  

O que pode esperar de nós

  

O que pode esperar de nós

  • Iremos fornecer uma resposta atempada ao seu e-mail (dento de 10 dias úteis).
  • Iremos encaminhar as descobertas potenciais para equipas de produto adequadas para fins de verificação e reprodução. Neste ponto, o utilizador pode ser contactado para facultar informações adicionais.
  • Após análise do relatório, iremos confirmar a existência da vulnerabilidade e o potencial impacto. Se se determinar que a vulnerabilidade identificada afeta a segurança do paciente, iremos trabalhar rapidamente para desenvolver uma resolução e empreender as medidas apropriadas. Todas as outras vulnerabilidades serão avaliadas e abordadas de acordo com o risco associado.
  • Iremos discutir problemas num diálogo aberto.
  • Iremos enviar uma notificação depois de a análise da vulnerabilidade ter concluído cada etapa da revisão.
  • Se desejar, iremos fornecer reconhecimento depois de a vulnerabilidade ter sido validada e resolvida.

Estamos empenhados em ser tão transparentes quanto possível relativamente ao período temporal de reparação e relativamente aos problemas ou desafios que possam eventualmente surgir.

Se não conseguirmos resolver problemas de comunicação ou de outro tipo, podemos envolver uma entidade externa neutra (como a CERT/CC, ICS-CERT ou o organismo regulador relevante) para nos ajudar a determinar a melhor forma de lidar com a vulnerabilidade.

Todos os aspetos do processo de CVD da Stryker estão sujeitos a alterações sem aviso prévio, a critério exclusivo da Stryker. Não é garantido nenhum nível particular em termos de resposta.

Processo de gestão de vulnerabilidades

O nosso processo de Divulgação Coordenada de Vulnerabilidades (CVD) inclui produtos regulamentados de software de saúde e de dispositivos médicos, incluindo dispositivos médicos, software como dispositivo médico (SaMD) e aplicações médicas móveis. Não se destina a fornecer informações de apoio técnico sobre os nossos produtos, a comunicar acontecimentos adversos ou a apresentar queixas sobre a qualidade dos produtos.

 

De que forma comunicar vulnerabilidades não relacionadas com o produto

Para comunicar vulnerabilidades não relacionadas com produtos na infraestrutura empresarial da Stryker, contacte-nos através do Programa de Divulgação de Vulnerabilidades de TI da Stryker Enterprise através do bugcrowd.com/stryker-vdp.

 

Como submeter uma vulnerabilidade

Se identificou uma potencial vulnerabilidade num dos nossos dispositivos médicos, software como dispositivo médico (SaMD) ou aplicações médicas móveis, utilize o formulário abaixo para enviar um relatório de vulnerabilidade à equipa de Segurança de Produtos da Stryker.

Para comunicar um acontecimento adverso ou apresentar uma reclamação sobre a qualidade dos produtos relacionados com a Stryker, contacte-nos através do 
stryker.com/productexperience.

Envio de formulário relativo a vulnerabilidades

O que gostaríamos de ver no seu envio

  • Relatórios escritos em inglês.
  • Relatórios que incluem um código de comprovação de conceito, que nos irá facilitar no processo de triagem.
  • De que forma encontrou a vulnerabilidade, o impacto e qualquer potencial solução.
  • Quaisquer planos ou intenções em termos de divulgação pública.
  • Nota: os relatórios que incluem apenas "crash dumps" ou informações sobre ferramentas automáticas que possam receber baixa prioridade.