Ne angajăm să creăm produse sigure, eficiente și securizate. Acest angajament include securitatea cibernetică a produselor noastre și a infrastructurii noastre destinate clienților.

Cercetătorii din domeniul securității joacă un rol în identificarea vulnerabilităților și problemelor de securitate cibernetică. Obiectivul nostru este de a colabora în mod eficient cu comunitatea de cercetare pentru a înțelege descoperirile acesteia. Am implementat procesul nostru inițial de dezvăluire coordonată a vulnerabilităților pentru a promova colaborarea și raportarea vulnerabilităților dispozitivelor medicale, conform descrierii de mai jos.

Domeniul de aplicare al programului nostru de raportare a vulnerabilităților include dispozitivele medicale, software-ul ca dispozitiv medical și aplicațiile medicale mobile. Acest program nu are rolul de a furniza informații de asistență tehnică privind produsele noastre sau de a raporta evenimente adverse sau reclamații privind calitatea produselor.

Pentru a raporta un eveniment advers sau a face o reclamație privind calitatea produselor, contactați-ne la adresa stryker.com/productexperience.

Modul de raportare a unei vulnerabilități

Dacă ați identificat o potențială vulnerabilitate de securitate a unuia dintre dispozitivele noastre medicale, a software-ului ca dispozitiv medical sau a unei aplicații medicale mobile, trimiteți echipei Stryker de securitate a produselor un raport de vulnerabilități, completând formularul de mai jos și trimițând prin e-mail documentul completat la adresa ProductSecurity@stryker.com.

Informații importante:
 

Nu vom întreprinde nicio acțiune legală împotriva persoanelor care trimit rapoarte prin procesul nostru de raportare a vulnerabilităților și încheie cu noi un acord cu valoare juridică, Suntem de acord să colaborăm cu persoane care:    

• efectuează teste/cercetări ale sistemelor fără a aduce daune companiei Stryker sau clienților săi;    
• efectuează teste asupra produselor fără a afecta clienții sau primesc permisiunea/consimțământul clienților înainte de a începe testele de vulnerabilități asupra dispozitivelor/software-ului etc.;  
• efectuează teste de vulnerabilități în limitele programului nostru de dezvăluire a vulnerabilităților și în conformitate cu termenii și condițiile oricăror acorduri încheiate între Stryker și persoanele respective;
• respectă legislația aplicabilă în locația lor și în locația Stryker. De exemplu, încălcarea unor legi care ar putea avea ca rezultat doar o pretenție în instanță a Stryker (însă nu și urmărirea penală) poate fi acceptabilă, deoarece Stryker autorizează activitatea respectivă (analiza prin inginerie inversă sau ocolirea măsurilor de protecție) pentru a își îmbunătăți sistemele;
• nu dezvăluie detaliile privind vulnerabilitatea decât după scurgerea perioadei de timp stabilite de comun acord.
  

Preferințele, prioritizarea și criteriile de acceptare
Vom utiliza următoarele criterii pentru a prioritiza și tria informațiile primite.   

Ce dorim să primim de la dvs.:

• rapoarte scrise în limba engleză;  
• rapoarte care să includă exemple de cod care să faciliteze trierea informațiilor;   
• modul în care ați descoperit vulnerabilitatea, impactul și orice remedii potențiale;   
• orice planuri sau intenții privind publicarea informațiilor.   

Notă: Rapoartele care includ numai jurnale de erori sau alte rezultate generate de instrumente automate pot avea prioritate scăzută.

La ce vă puteți aștepta de la noi:   

• o reacție promptă la e-mailul dvs. (în interval de 5 zile lucrătoare);
• vom direcționa potențialele descoperiri către echipele produselor corespunzătoare, în vederea verificării și reproducerii. Vă putem contacta pentru a furniza informații suplimentare în această etapă;  
• în urma investigării unui raport, vom confirma existența vulnerabilității și potențialul impact al acesteia.  Dacă se determină că vulnerabilitatea identificată afectează siguranța pacienților, vom depune toate eforturile pentru a dezvolta o soluție și a adopta măsurile necesare în cel mai scurt timp. Toate celelalte vulnerabilități vor fi evaluate și abordate în funcție de riscurile asociate;
• un dialog deschis pentru discutarea problemelor;   
• notificări privind finalizarea de către analiza vulnerabilității a fiecărei etape a procesului nostru de verificare;   
• menționarea contribuției dvs. după validarea și rezolvarea vulnerabilității, dacă doriți acest lucru;   
• ne angajăm să asigurăm nivelul maxim de transparență în privința orarului remedierii și problemelor sau provocărilor asociate;  
• dacă nu putem rezolva problemele de comunicare sau de altă natură, putem implica o terță parte neutră (cum ar fi CERT/CC, ICS-CERT sau autoritatea de reglementare competentă), care să ofere sprijin pentru gestionarea cât mai eficientă a vulnerabilității.   

Toate aspectele acestui proces pot fi modificate fără aviz prealabil; pot exista, de asemenea, excepții stabilite conform specificului fiecărui caz. Nu se garantează răspunsul la niciunul dintre nivelurile menționate.

Notificare

În cazul în care decideți să partajați orice informații cu Stryker, sunteți de acord ca informațiile trimise să fie considerate nebrevetate și neconfidențiale și ca Stryker să le poată utiliza în orice mod, integral sau parțial, fără nicio restricție. În plus, acceptați faptul că trimiterea informațiilor nu creează niciun drept pentru dvs. și nicio obligație pentru Stryker.

Ca parte a angajamentului nostru în ceea ce privește securitatea produselor și serviciile oferite clienților, furnizăm clienților informații care să îi ajute să evalueze și să abordeze vulnerabilitățile și riscurile.

Mai exact, utilizăm Declarația de dezvăluire a producătorului privind securitatea dispozitivelor medicale (Medical Device Security – MDS²) pentru a furniza informații privind securitatea produselor noastre.

MDS² conține informații de securitate specifice produselor, care privesc capabilitățile dispozitivelor, precum: 

• gestionarea, stocarea și transmiterea de ePHI; 
• capabilitățile de copiere de rezervă a datelor și cele legate de suporturile amovibile de stocare;
• instalarea pachetelor de securitate și a software-ului antivirus;
• accesul de la distanță la servicii;
• jurnalele de audit ale accesului la ePHI, inclusiv: vizualizarea; crearea, modificarea și ștergerea înregistrărilor; importul/exportul.

MDS², un formular universal de raportare care ne permite să furnizăm clienților informații specifice fiecărui model, este susținut de Colegiul American de Inginerie Clinică (American College of Clinical Engineering – ACCE), ECRI (anterior Emergency Care Research Institute – Institutul de Cercetare în Domeniul Îngrijirii Medicale de Urgență), Asociația Națională a Producătorilor de Echipamente Electrice (National Electrical Manufacturers Association – NEMA) și Societatea pentru Sisteme de Gestionare și Informații Medicale (Healthcare Information and Management Systems Society – HIMSS).

Formularul conține, de asemenea, recomandări pentru practicile de securitate și note explicative ale producătorului.