Domeniul de aplicare al programului nostru de raportare a vulnerabilităților include dispozitivele medicale, software-ul ca dispozitiv medical și aplicațiile medicale mobile. Acest program nu are rolul de a furniza informații de asistență tehnică privind produsele noastre sau de a raporta evenimente adverse sau reclamații privind calitatea produselor.
Pentru a raporta un eveniment advers sau a face o reclamație privind calitatea produselor, contactați-ne la adresa stryker.com/productexperience.
Modul de raportare a unei vulnerabilități
Dacă ați identificat o potențială vulnerabilitate de securitate a unuia dintre dispozitivele noastre medicale, a software-ului ca dispozitiv medical sau a unei aplicații medicale mobile, trimiteți echipei Stryker de securitate a produselor un raport de vulnerabilități, completând formularul de mai jos și trimițând prin e-mail documentul completat la adresa ProductSecurity@stryker.com.
Informații importante:
Nu vom întreprinde nicio acțiune legală împotriva persoanelor care trimit rapoarte prin procesul nostru de raportare a vulnerabilităților și încheie cu noi un acord cu valoare juridică, Suntem de acord să colaborăm cu persoane care:
- efectuează teste/cercetări ale sistemelor fără a aduce daune companiei Stryker sau clienților săi;
- efectuează teste asupra produselor fără a afecta clienții sau primesc permisiunea/consimțământul clienților înainte de a începe testele de vulnerabilități asupra dispozitivelor/software-ului etc.;
- efectuează teste de vulnerabilități în limitele programului nostru de dezvăluire a vulnerabilităților și în conformitate cu termenii și condițiile oricăror acorduri încheiate între Stryker și persoanele respective;
- respectă legislația aplicabilă în locația lor și în locația Stryker. De exemplu, încălcarea unor legi care ar putea avea ca rezultat doar o pretenție în instanță a Stryker (însă nu și urmărirea penală) poate fi acceptabilă, deoarece Stryker autorizează activitatea respectivă (analiza prin inginerie inversă sau ocolirea măsurilor de protecție) pentru a își îmbunătăți sistemele;
- nu dezvăluie detaliile privind vulnerabilitatea decât după scurgerea perioadei de timp stabilite de comun acord.
Preferințele, prioritizarea și criteriile de acceptare
Vom utiliza următoarele criterii pentru a prioritiza și tria informațiile primite.
Ce dorim să primim de la dvs.:
- rapoarte scrise în limba engleză;
- rapoarte care să includă exemple de cod care să faciliteze trierea informațiilor;
- modul în care ați descoperit vulnerabilitatea, impactul și orice remedii potențiale;
- orice planuri sau intenții privind publicarea informațiilor.
Notă: Rapoartele care includ numai jurnale de erori sau alte rezultate generate de instrumente automate pot avea prioritate scăzută.
La ce vă puteți aștepta de la noi:
- o reacție promptă la e-mailul dvs. (în interval de 5 zile lucrătoare);
- vom direcționa potențialele descoperiri către echipele produselor corespunzătoare, în vederea verificării și reproducerii. Vă putem contacta pentru a furniza informații suplimentare în această etapă;
- în urma investigării unui raport, vom confirma existența vulnerabilității și potențialul impact al acesteia. Dacă se determină că vulnerabilitatea identificată afectează siguranța pacienților, vom depune toate eforturile pentru a dezvolta o soluție și a adopta măsurile necesare în cel mai scurt timp. Toate celelalte vulnerabilități vor fi evaluate și abordate în funcție de riscurile asociate;
- un dialog deschis pentru discutarea problemelor;
- notificări privind finalizarea de către analiza vulnerabilității a fiecărei etape a procesului nostru de verificare;
- menționarea contribuției dvs. după validarea și rezolvarea vulnerabilității, dacă doriți acest lucru;
- ne angajăm să asigurăm nivelul maxim de transparență în privința orarului remedierii și problemelor sau provocărilor asociate;
- dacă nu putem rezolva problemele de comunicare sau de altă natură, putem implica o terță parte neutră (cum ar fi CERT/CC, ICS-CERT sau autoritatea de reglementare competentă), care să ofere sprijin pentru gestionarea cât mai eficientă a vulnerabilității.
Toate aspectele acestui proces pot fi modificate fără aviz prealabil; pot exista, de asemenea, excepții stabilite conform specificului fiecărui caz. Nu se garantează răspunsul la niciunul dintre nivelurile menționate.
Notificare
În cazul în care decideți să partajați orice informații cu Stryker, sunteți de acord ca informațiile trimise să fie considerate nebrevetate și neconfidențiale și ca Stryker să le poată utiliza în orice mod, integral sau parțial, fără nicio restricție. În plus, acceptați faptul că trimiterea informațiilor nu creează niciun drept pentru dvs. și nicio obligație pentru Stryker.
Vom utiliza următoarele criterii pentru a prioritiza și tria informațiile primite.
Preferințele, prioritizarea și criteriile de acceptare
Vom utiliza următoarele criterii pentru a prioritiza și tria informațiile primite.