Мы обязуемся обеспечивать безопасную и эффективную работу нашей продукции. Кибербезопасность нашей продукции и инфраструктуры наших клиентов является неотъемлемой частью нашей деятельности.

Специалисты, занимающиеся исследованиями в области безопасности, играют важную роль в выявлении уязвимостей и проблем кибербезопасности. Наша цель заключается в обеспечении эффективного сотрудничества с исследовательским сообществом, чтобы понимать результаты их работы. Мы внедряем свой первый процесс координированного раскрытия информации об уязвимостях в целях укрепления сотрудничества и предоставления отчетности об уязвимостях медицинских изделий, как описано ниже.

Сфера применения нашей программы отчетности об уязвимостях включает медицинские изделия, программное обеспечение как медицинское изделие и мобильные медицинские приложения. Она не предназначена для технической поддержки наших продуктов, регистрации нежелательных явлений или жалоб на качество продуктов.

Чтобы сообщить о нежелательном явлении или пожаловаться на качество продукта, обратитесь по адресу stryker.com/productexperience.

Как сообщить об уязвимости

Если вы обнаружили потенциальную уязвимость системы безопасности одного из наших медицинских изделий, программного обеспечения как медицинского изделия или мобильного медицинского приложения, направьте отчет об уязвимости в службу безопасности продукции Stryker, заполнив следующую форму и отправив ее по электронной почте на адрес ProductSecurity@stryker.com.

Важная информация
 

Мы не участвуем в судебных разбирательствах в отношении лиц, предоставивших отчеты посредством нашего процесса раскрытия информации об уязвимостях и заключивших с нами правовое соглашение. Мы готовы работать с лицами, которые:    

• принимают участие в тестировании систем / исследованиях, не причиняя вреда компании Stryker или ее клиентам;    
• тестируют продукты, не оказывая воздействия на клиентов, или получают разрешение/согласие клиентов до начала тестирования на уязвимость принадлежащих им изделий / программного обеспечения и т. д.;  
• участвуют в тестировании на уязвимость в рамках программы раскрытия информации об уязвимостях в соответствии с условиями соглашений, заключенных между компанией Stryker и отдельными лицами;
• соблюдают законы, действующие на их территории и на территории Stryker. Например, нарушение законов, которое может привести только к исковому требованию, предъявляемому компанией Stryker (а не к ходатайству о привлечении к уголовной ответственности), может быть допустимым, поскольку компания Stryker разрешает соответствующее действие (обратную инженерию или обход защитных мер) для улучшения системы.
• Не раскрывайте информацию об уязвимостях до истечения взаимосогласованного срока.
  

Критерии предоставления преимуществ, определения очередности и приемки
Мы используем следующие критерии для определения очередности рассмотрения полученных отчетов.   

От вас мы бы хотели получить:

• письменные отчеты на английском языке;  
• отчеты, содержащие код, подтверждающий правильность концепции, который поможет нам лучше расставить приоритеты;   
• информацию о том, как вы обнаружили уязвимость, какое воздействие она может оказать и как ее можно устранить;   
• планы или намерения относительно раскрытия информации общественности.   

Примечание. Отчетам, содержащим только аварийные дампы и прочие результаты работы автоматизированных средств, может быть присвоен более низкий приоритет.

Что вы можете ожидать от нас:   

• Оперативный ответ на ваше письмо (в течение 5 рабочих дней).
• Мы передадим информацию об обнаруженных вами потенциальных уязвимостях соответствующим группам разработчиков для проверки и воспроизведения. На этом этапе с вами могут связаться для получения дополнительной информации.  
• Завершив изучение отчета, мы подтвердим наличие и потенциальное воздействие уязвимости.  Если окажется, что выявленная уязвимость влияет на безопасность пациента, мы в срочном порядке разработаем решение и примем соответствующие меры. Все прочие уязвимости оцениваются и устраняются на основе сопутствующего риска.
• Открытый диалог для обсуждения проблем.   
• Уведомление по завершении каждого этапа анализа уязвимости.   
• Денежное вознаграждение после подтверждения и устранения уязвимости (по желанию).   
• Мы стремимся максимально прозрачно предоставлять информацию о сроках устранения уязвимостей и возможных проблемах и трудностях.  
• Если мы не можем решить проблемы, связанные с информационным взаимодействием, или другие проблемы, мы можем привлечь независимую третью сторону (например, CERT/CC, ICS-CERT или соответствующий регулирующий орган), чтобы помочь нам найти оптимальный способ устранения уязвимости.   

Все аспекты этого процесса могут меняться без уведомления, при этом в отдельных случаях возможны исключения. Гарантия относительно определенного уровня ответа не предоставляется.

Уведомление

Если вы решите предоставить компании Stryker какую-либо информацию, вы соглашаетесь с тем, что предоставленная вами информация не будет считаться собственной или конфиденциальной и что компании Stryker разрешается использовать ее любым способом (как полностью, так и частично) без каких-либо ограничений. Вы также соглашаетесь с тем, что предоставление информации не создает никаких прав для вас или обязательств для компании Stryker.

В рамках обязательства по обеспечению безопасности продукции и качественного обслуживания клиентов мы предоставляем клиентам информацию, которая помогает им оценивать и устранять уязвимости и риски.

В частности, мы используем Заявление производителя о раскрытии информации в целях обеспечения безопасности медицинских изделий (MDS²), чтобы предоставлять информацию о безопасности нашей продукции.

MDS² содержит информацию о безопасности конкретных продуктов, связанную с такими возможностями изделий, как:

• администрирование, хранение и передача электронной защищенной информации о состоянии здоровья (ePHI); 
• резервное копирование данных и возможность использования съемных носителей информации;
• установка обновлений безопасности и антивирусного программного обеспечения;
• удаленный доступ к сервисам;
• журналы аудита доступа к ePHI, в том числе просмотр, создание, изменение и удаление записей, импорт/экспорт данных.

Универсальная форма сообщения MDS², которая позволяет нам предоставлять клиентам информацию по конкретным моделям, одобрена Американским колледжем клинической инженерии (American College of Clinical Engineering, ACCE), ECRI (ранее известным как Emergency Care Research Institute, Исследовательский институт неотложной помощи), Национальной ассоциацией производителей электрооборудования (National Electrical Manufacturers Association, NEMA) и Обществом медицинской информации и систем управления (Healthcare Information and Management Systems Society, HIMSS).

Форма также содержит рекомендации относительно практических методов обеспечения безопасности и пояснительные замечания производителя.