Ürün güvenliği

Ürün güvenliğine olan bağlılığımız

Ürünlerimizin etkinliğini ve güvenliğini sağlamaya kararlıyız. Ürünlerimizin siber güvenliği ve müşteri altyapımız odak noktamızın ayrılmaz bir parçasıdır.

Güncel güvenlik uyarıları

"Urgent 11" güvenlik açıkları - Wind River VxWorks (ICSA-19-211-01)

Daha Fazla Oku

Microsoft Windows RDP Güvenlik Açığı (CVE-2019-0708) Bülteni

Daha Fazla Oku

Stryker, iBed Wireless etkin Secure II, S3 MedSurg ve InTouch ICU yatakları için KRACK açıklığına yanıt veriyor.

Daha Fazla Oku

WannaCry güvenlik açığına ilişkin güvenlik uyarısı

Daha Fazla Oku

Ürün güvenlik açıklarının raporlanması

Güvenlik araştırmacıları siber güvenlik açıklarının ve endişelerinin belirlenmesinde rol oynarlar. Amacımız, bulgularını anlamak için araştırma topluluğuyla etkin bir şekilde ortaklık yapmaktır. Aşağıda açıklandığı gibi tıbbi cihaz güvenlik açıklarının iş birliğini ve raporlanmasını teşvik etmek için ilk Eşgüdümlü Güvenlik Açığı Açıklama Sürecimizi başlatıyoruz.

Kapsam

Güvenlik açığı raporlama programımızın kapsamı Tıbbi Cihazlar, Tıbbi Cihaz Olarak Yazılım ve Mobil Tıbbi Uygulamaları içerir. Ürünlerimiz hakkında teknik destek bilgileri sağlamak veya Olumsuz Olaylar veya Ürün Kalitesi Şikayetleri bildirmek için tasarlanmamıştır.

Olumsuz bir olayı veya ürün kalitesini bildirmek için  stryker.com/productexperience web sitesinden bizimle iletişime geçiniz.

Güvenlik açığı göndermek

Tıbbi Cihazlarımızdan, Tıbbi Cihaz Olarak Yazılımlarımızdan veya Mobil Tıbbi Uygulamalarımızdan biriyle olası bir güvenlik açığı tespit ettiyseniz, lütfen aşağıdaki formu doldurarak ve tamamlanan belgeyi ProductSecurity@stryker.com e-postayla göndererek Stryker'ın Ürün Güvenliği Ekibine bir güvenlik açığı raporu gönderin.

 
Önemli bilgiler:
 

Güvenlik Açığı Raporlama sürecimiz aracılığıyla rapor gönderen ve bizimle yasal bir anlaşma yapan kişilere karşı yasal işlem yapmayacağız. Çalışmayı kabul ettiğimiz bireyler:    

  • Stryker'a veya müşterilerine zarar vermeden sistemleri/araştırmaları test eden    
  • Müşterileri etkilemeden ürünler üzerinde testler yapmak veya cihazlarına/yazılımlarına karşı güvenlik açığı testine girmeden önce müşterilerden izin alan  
  • Stryker ve bireyler arasında yapılan anlaşmaların hüküm ve koşullarına uygun olarak güvenlik açığı açıklama programımız kapsamında güvenlik açığı testini uygulayan
  • ve yerel kural/kanunlara ve Stryker'ın kural/kanunlarına uyan kişilerdir. Örneğin, Yalnızca Stryker'ın talebiyle sonuçlanacak yasaları ihlal etmek, Stryker'ın sistemini iyileştirme faaliyetine yetki verdiği için kabul edilebilir.
  • Karşılıklı olarak kararlaştırılan herhangi bir zaman diliminin süresi dolmadan güvenlik açığı ayrıntılarını ifşa etmekten kaçının.

 

Tercih, öncelik belirleme ve kabul kriterleri
Başvuruları önceliklendirmek için aşağıdaki kriterleri kullanacağız.   

Kriterlerimiz:

  • Raporlar İngilizce olarak yazılmalıdır.  
  • Raporlar gerekli kanıtları içermelidir.   
  • Güvenlik açığını, etkiyi ve olası düzeltmeyi nasıl bulduğunuz belirtilmelidir.   
  • Kamuya açıklanması için herhangi bir plan veya amaç belirlenmelidir.   

Not: Yalnızca kaza dökümleri veya diğer otomatik araç çıktılarını içeren raporlar daha düşük öncelik alabilir.

 

Bizden ne bekleyebilirsiniz:   

  • E-postanıza zamanında yanıt (5 iş günü içinde).
  • Potansiyel bulguları doğrulama ve çoğaltma için uygun ürün ekiplerine yönlendirme. Bu aşamada ek bilgi sağlamak için sizinle iletişime geçilebilir.  
  • Bir raporun incelenmesini takiben, güvenlik açığının varlığını ve olası etkisini teyit edeceğiz.  Tanımlanan güvenlik açığının hasta güvenliğini etkileyeceği tespit edilirse, bir çözüm geliştirmek ve gerekli önlemleri almak için hızlı bir şekilde çalışacağız. Diğer tüm güvenlik açıkları, ilişkili riske göre değerlendirilecek ve ele alınacaktır.
  • Sorunları tartışmak için açık bir iletişim olacaktır.   
  • Güvenlik açığı çözümlemesi incelememizin her aşamasını tamamladığında bildirim yapılacaktır.   
  • İstenirse, güvenlik açığı doğrulandıktan ve çözüldükten sonra iade yapılacaktır.   
  • Düzeltme zaman çizelgesi ve ilgili olabilecek sorunlar konusunda mümkün olduğunca şeffaf olmaya kararlıyız.  
  • İletişim sorunlarını veya diğer sorunları çözemiyorsak, güvenlik açığının en iyi şekilde nasıl ele alınabileceğini belirlemeye yardımcı olması için tarafsız bir üçüncü taraf (CERT/CC, ICS-CERT veya ilgili düzenleyici gibi) getirebiliriz.   

Bu işlemin tüm yönleri önceden haber verilmeden ve duruma göre özel durumlar için değiştirilebilir. Belirli bir yanıt düzeyi garanti değildir.

 

Dikkat

Bir etkinlikte, herhangi bir bilgiyi Stryker ile paylaşmaya karar vermeniz durumunda, gönderdiğiniz bilgilerin tescilli olmayan ve gizli olmayan bir bilgi olarak kabul edeceğinizi ve Stryker'ın bu bilgileri herhangi bir şekilde, tamamen veya kısmen kullanmasında bir sakınca olmadığını kabul etmektesiniz. Ayrıca, bilgi göndermenin sizin için herhangi bir hak veya Stryker için herhangi bir yükümlülük oluşturmadığını kabul etmektesiniz.

We will use the following criteria to prioritize and triage submissions.   

 
Tercih, Öncelik Belirleme ve Kabul Kriterleri
Başvuruları önceliklendirmek için aşağıdaki kriterleri kullanacağız.   

Tıbbi Cihaz Güvenliğine İlişkin Üretici Açıklama Bildirimi

Ürün güvenliği ve müşteri hizmetlerine bağlılığımızın bir parçası olarak müşterilerimize, güvenlik açıklarını ve riskleri değerlendirme ve giderme konusunda yardımcı olacak bilgiler sağlıyoruz.

Özellikle, ürünlerimiz hakkında güvenlik bilgileri sağlamak için Tıbbi Cihaz Güvenliği için Üretici Açıklama Bildirimi'ni (MDS²) kullanırız.

MDS², aşağıdakiler gibi cihazların özellikleriyle ilgili ürüne özel güvenlik bilgilerini içerir:    

  • EPHI'nin bakımı, depolanması ve iletilmesi 
  • Veri yedekleme ve çıkarılabilir medya özellikleri
  • Güvenlik yamaları ve virüsten koruma yazılımı yükleme
  • Uzaktan hizmet erişimi
  • Aşağıdakiler dahil olmak üzere ePHI erişiminin denetim günlükleri: görüntüleme; kayıtları oluşturma, değiştirme ve silme; alma/dışa aktarma

Müşterilerimize modele özel bilgiler sağlamamızı sağlayan evrensel bir raporlama formu olan MDS², American College of Clinical Engineering (ACCE), ECRI (eski adıyla Acil Bakım Araştırma Enstitüsü), Ulusal Elektrik Üreticiler Derneği (NEMA) ve Sağlık Bilgi ve Yönetim Sistemleri Derneği (HIMSS) tarafından onaylanmıştır.

Form ayrıca güvenlik uygulama önerileri ve üreticiden açıklayıcı notlar içerir.