Сфера применения нашей программы отчетности об уязвимостях включает медицинские изделия, программное обеспечение как медицинское изделие и мобильные медицинские приложения. Она не предназначена для технической поддержки наших продуктов, регистрации нежелательных явлений или жалоб на качество продуктов.
Чтобы сообщить о нежелательном явлении или пожаловаться на качество продукта, обратитесь по адресу stryker.com/productexperience.
Как сообщить об уязвимости
Если вы обнаружили потенциальную уязвимость системы безопасности одного из наших медицинских изделий, программного обеспечения как медицинского изделия или мобильного медицинского приложения, направьте отчет об уязвимости в службу безопасности продукции Stryker, заполнив следующую форму и отправив ее по электронной почте на адрес ProductSecurity@stryker.com.
Важная информация
Мы не участвуем в судебных разбирательствах в отношении лиц, предоставивших отчеты посредством нашего процесса раскрытия информации об уязвимостях и заключивших с нами правовое соглашение. Мы готовы работать с лицами, которые:
- принимают участие в тестировании систем / исследованиях, не причиняя вреда компании Stryker или ее клиентам;
- тестируют продукты, не оказывая воздействия на клиентов, или получают разрешение/согласие клиентов до начала тестирования на уязвимость принадлежащих им изделий / программного обеспечения и т. д.;
- участвуют в тестировании на уязвимость в рамках программы раскрытия информации об уязвимостях в соответствии с условиями соглашений, заключенных между компанией Stryker и отдельными лицами;
- соблюдают законы, действующие на их территории и на территории Stryker. Например, нарушение законов, которое может привести только к исковому требованию, предъявляемому компанией Stryker (а не к ходатайству о привлечении к уголовной ответственности), может быть допустимым, поскольку компания Stryker разрешает соответствующее действие (обратную инженерию или обход защитных мер) для улучшения системы.
- Не раскрывайте информацию об уязвимостях до истечения взаимосогласованного срока.
Критерии предоставления преимуществ, определения очередности и приемки
Мы используем следующие критерии для определения очередности рассмотрения полученных отчетов.
От вас мы бы хотели получить:
- письменные отчеты на английском языке;
- отчеты, содержащие код, подтверждающий правильность концепции, который поможет нам лучше расставить приоритеты;
- информацию о том, как вы обнаружили уязвимость, какое воздействие она может оказать и как ее можно устранить;
- планы или намерения относительно раскрытия информации общественности.
Примечание. Отчетам, содержащим только аварийные дампы и прочие результаты работы автоматизированных средств, может быть присвоен более низкий приоритет.
Что вы можете ожидать от нас:
- Оперативный ответ на ваше письмо (в течение 5 рабочих дней).
- Мы передадим информацию об обнаруженных вами потенциальных уязвимостях соответствующим группам разработчиков для проверки и воспроизведения. На этом этапе с вами могут связаться для получения дополнительной информации.
- Завершив изучение отчета, мы подтвердим наличие и потенциальное воздействие уязвимости. Если окажется, что выявленная уязвимость влияет на безопасность пациента, мы в срочном порядке разработаем решение и примем соответствующие меры. Все прочие уязвимости оцениваются и устраняются на основе сопутствующего риска.
- Открытый диалог для обсуждения проблем.
- Уведомление по завершении каждого этапа анализа уязвимости.
- Денежное вознаграждение после подтверждения и устранения уязвимости (по желанию).
- Мы стремимся максимально прозрачно предоставлять информацию о сроках устранения уязвимостей и возможных проблемах и трудностях.
- Если мы не можем решить проблемы, связанные с информационным взаимодействием, или другие проблемы, мы можем привлечь независимую третью сторону (например, CERT/CC, ICS-CERT или соответствующий регулирующий орган), чтобы помочь нам найти оптимальный способ устранения уязвимости.
Все аспекты этого процесса могут меняться без уведомления, при этом в отдельных случаях возможны исключения. Гарантия относительно определенного уровня ответа не предоставляется.
Уведомление
Если вы решите предоставить компании Stryker какую-либо информацию, вы соглашаетесь с тем, что предоставленная вами информация не будет считаться собственной или конфиденциальной и что компании Stryker разрешается использовать ее любым способом (как полностью, так и частично) без каких-либо ограничений. Вы также соглашаетесь с тем, что предоставление информации не создает никаких прав для вас или обязательств для компании Stryker.
Мы используем следующие критерии для определения очередности рассмотрения полученных отчетов.
Критерии предоставления преимуществ, определения очередности и приемки
Мы используем следующие критерии для определения очередности рассмотрения полученных отчетов.