hero-mobile-v3

Безопасность лежит в основе того, что мы делаем.
hero-mobile-v3

Безопасность продуктов — это не просто свойство, а ключевой момент в защите наших решений.
X

Безопасность продуктов | Stryker

Безопасность продуктов

В компании Stryker мы уделяем большое внимание безопасности и сохранности наших продуктов, поскольку знаем, насколько они важны. Наша штатная команда по безопасности продуктов неустанно работает над внедрением надежных мер безопасности и сотрудничает с отраслевыми партнерами для постоянного совершенствования наших методов обеспечения безопасности. Мы применяем проактивный подход к обеспечению безопасности, чтобы опережать возникающие угрозы и принимать соответствующие меры для устранения уязвимостей. Ваше доверие — наш главный приоритет, и мы стремимся защищать продукты и данные, от которых вы зависите.

Информация о поддержке продукта

Кибербезопасность предприятия

  

Наши обязательства

Мы проводим тщательную оценку безопасности наших продуктов на протяжении всего их жизненного цикла, чтобы выявить и устранить потенциальные уязвимости. Безопасность включена в каждый этап процесса разработки нашего продукта: от проектирования до развертывания, становясь основополагающим элементом всего, что мы делаем.

 

 

На чем мы сосредотачиваем свои усилия

  

Значок идеи

Проектирование и разработка устройств

  • На этапах проектирования и разработки новых медицинских устройств мы реализуем меры безопасности, включающие моделирование угроз, оценку рисков и внедрение средств контроля безопасности в архитектуру продукта.
  • Сотрудничество между командами по проектированию, кибербезопасности, конфиденциальности и регулированию позволяет реализовать комплексный подход к внедрению лучших практик безопасности в инновационные продукты.
  • Мы гарантируем, что безопасность будет учтена еще на начальных этапах проектирования, чтобы минимизировать потенциальные уязвимости и угрозы, которые могут повлиять на безопасность пациентов или поставить под угрозу конфиденциальные данные.

  

Значок замка

Цепочка поставок
 

  • Безопасность цепочки поставок направлена на снижение рисков, связанных с закупкой, производством, распространением и обслуживанием медицинских изделий.
  • Мы тесно сотрудничаем с поставщиками и партнерами для установления требований безопасности, проведения тщательных оценок и обеспечения целостности компонентов и программного обеспечения, интегрированных в их продукты.
  • Такие меры, как безопасные методы кодирования, проверка встроенного ПО и безопасные каналы распространения, помогают предотвратить несанкционированное вмешательство, подделку или несанкционированные изменения по всей цепочке поставок.

  

Значок поддержки

Реагирование на инциденты и управление уязвимостями

  • Компания Stryker внедрила надежные процессы реагирования на инциденты и управления уязвимостями для оперативного обнаружения, оценки и устранения проблем безопасности. Сюда входят разработка протоколов связи, координация мер реагирования с клиентами и регулирующими органами, выпуск своевременных исправлений или обновлений, а также проведение проверок после инцидентов.
  • Несмотря на проактивные меры безопасности, в течение жизненного цикла медицинских устройств все равно могут возникать уязвимости и инциденты.

  

Значок одобрения

Партнерства в сфере здравоохранения
 

  • Наши эксперты в данной области сотрудничают с отраслевыми группами с целью продвижения принципов кибербезопасности и передовых отраслевых практик.
  • Мы развиваем культуру прозрачности и сотрудничества с клиентами, заинтересованными сторонами отрасли и поставщиками для усиления безопасности.
  • Мы помогаем разрабатывать отраслевые структуры, технические документы и активно взаимодействовать с регулирующими органами, чтобы улучшить здравоохранение.

  

Последние рекомендации по вопросам безопасности

Уязвимости сервера отчетов и сервера голосовой связи Stryker Vocera

Подробнее

Уязвимости диспетчера очереди печати Microsoft (CVE-2021-34527 и CVE-2021-36958)

Подробнее

Библиотека журналирования Apache "Log4j" с открытым исходным кодом

Подробнее

Слабые места SweynTooth BLE (ICSA-20-063-01)

Подробнее
СМОТРЕТЬ ВСЕ СТАТЬИ

 

 

Скоординированное раскрытие информации о уязвимостях продукта (CVD)

Исследователи безопасности играют важную роль в выявлении уязвимостей и проблем кибербезопасности. В компании Stryker действует процесс скоординированного раскрытия информации об уязвимостях (CVD), способствующий сотрудничеству и эффективному информированию об уязвимостях медицинских устройств Stryker.

 

  

Важно

  

Важная информация о нашем процессе CVD

Мы добросовестно сотрудничаем с исследователями и сторонами, которые тестируют нашу продукцию, и не будем возбуждать судебные иски против лиц, которые отправляют отчеты через нашу процедуру CVD. Использование вами этого процесса считается юридическим соглашением со Stryker.

Мы готовы работать с лицами, которые:

  • Принимают участие в тестировании систем/исследований, не причиняя вреда компании Stryker или ее клиентам.
  • Тестируют продукты, не оказывая воздействия на клиентов, или получают разрешение/согласие клиентов до начала тестирования на уязвимость принадлежащих им изделий / программного обеспечения.
  • Участвуют в тестировании на уязвимость в рамках программы CVD в соответствии с условиями соглашений, заключенных между компанией Stryker и отдельными лицами.
  • Соблюдают законы, действующие на их территории и на территории Stryker.
  • Не раскрывайте информацию об уязвимостях до истечения взаимосогласованного срока.

Если вы решите предоставить компании Stryker какую-либо информацию, вы соглашаетесь с тем, что предоставленная вами информация не будет считаться собственной или конфиденциальной и что компании Stryker разрешается использовать ее любым способом (как полностью, так и частично) без каких-либо ограничений. Вы также соглашаетесь с тем, что предоставление информации не создает никаких прав для вас или обязательств для компании Stryker.

  

Что вы можете ожидать от нас

  

Что вы можете ожидать от нас

  • Мы отправим оперативный ответ на ваше письмо (в течение 10 рабочих дней).
  • Мы передадим информацию об обнаруженных вами потенциальных уязвимостях соответствующим группам разработчиков для проверки и воспроизведения. На этом этапе с вами могут связаться для получения дополнительной информации.
  • Завершив изучение отчета, мы подтвердим наличие и потенциальное воздействие уязвимости. Если окажется, что выявленная уязвимость влияет на безопасность пациента, мы в срочном порядке разработаем решение и примем соответствующие меры. Все прочие уязвимости оцениваются и устраняются на основе сопутствующего риска.
  • Мы обсудим проблему в формате открытого диалога.
  • Мы отправим уведомление по завершении каждого этапа анализа уязвимости.
  • В случае необходимости мы обеспечим денежное вознаграждение после подтверждения и устранения уязвимости.

Мы стремимся максимально прозрачно предоставлять информацию о сроках устранения уязвимостей и возможных проблемах и трудностях.

Если мы не сможем решить проблемы, связанные с информационным взаимодействием, или другие проблемы, мы можем привлечь независимую третью сторону (например, CERT/CC, ICS-CERT или соответствующий регулирующий орган), чтобы помочь найти оптимальный способ устранения уязвимости.

Любые аспекты процесса CVD компании Stryker могут быть изменены без предварительного уведомления по собственному усмотрению компании Stryker. Гарантия относительно определенного уровня ответа не предоставляется.

Процесс управления уязвимостями

Наш процесс координированного раскрытия информации об уязвимостях (CVD) охватывает продукты для регламентируемых медицинских устройств и программного обеспечения для здравоохранения, включая медицинские устройства, программное обеспечение в качестве медицинского устройства (SaMD) и мобильные медицинские приложения. Он не предназначен для предоставления технической информации о наших продуктах, для сообщения о нежелательных явлениях или для подачи жалоб на качество продукции.

 

Как сообщить об уязвимостях, не связанных с продуктами

Чтобы сообщить об уязвимостях, не связанных с продуктами, в корпоративной инфраструктуре Stryker, свяжитесь с нами, используя Программу раскрытия информации об уязвимостях ИТ-инфраструктуры корпорации Stryker по адресу bugcrowd.com/stryker-vdp.

 

Как сообщить об уязвимости

Если вы обнаружили потенциальную уязвимость в одном из наших медицинских устройств, программном обеспечении в качестве медицинского устройства (SaMD) или мобильных медицинских приложениях, воспользуйтесь формой ниже, чтобы отправить отчет об уязвимости в отдел безопасности продуктов Stryker.

Чтобы сообщить о нежелательном явлении или пожаловаться на качество продукта Stryker, посетите раздел 
stryker.com/productexperience.

Формуляр для отправки информации об уязвимостях

Что мы хотели бы получить в отправленном вам формуляре

  • Письменные отчеты на английском языке.
  • Отчеты, содержащие код с доказательством правильности концепции, который поможет нам лучше расставить приоритеты.
  • Информацию о том, как вы обнаружили уязвимость, какое воздействие она может оказать и как ее можно устранить.
  • Планы или намерения относительно раскрытия информации общественности.
  • Примечание. Отчетам, содержащим только аварийные дампы и прочие результаты работы автоматизированных средств, может быть присвоен более низкий приоритет.