�ʘ���

Ci impegniamo a garantire la sicurezza, l'efficacia e la sicurezza dei nostri prodotti.��La sicurezza informatica dei nostri prodotti e dell'infrastruttura dei nostri clienti è parte integrante della nostra azione.

I ricercatori della sicurezza hanno un ruolo importante nell'identificazione dei problemi e delle vulnerabilità della sicurezza informatica.��Il nostro scopo è collaborare con la comunità di ricerca per comprenderne i risultati.��Stiamo introducendo il nostro Coordinated Vulnerability Disclosure Process iniziale per promuovere la collaborazione e la comunicazione delle vulnerabilità dei dispositivi medici come descritto di seguito.

L'ambito del nostro programma di segnalazione delle vulnerabilità include i dispositivi medici, il software come dispositivo medico e le applicazioni mediche mobili.��Non ha lo scopo di fornire assistenza tecnica sui nostri prodotti o segnalare gli eventi avversi o i reclami sulla qualità dei prodotti.

Per segnalare un evento avverso o un reclamo sulla qualità dei prodotti, contattarci all'indirizzo��stryker.com/productexperience.

Come presentare una vulnerabilità

Se è stata identificata una potenziale vulnerabilità della sicurezza con uno dei nostri dispositivi medici, software come dispositivo medico o applicazioni mediche mobili, presentare un resoconto al Product Security Team di �ʘ��� completando il modulo e inviando via e-mail il documento completo all'indirizzo ProductSecurity@stryker.com.

��

Informazioni importanti:
��

Non intraprenderemo azioni legali nei confronti di individui che presentano resoconti attraverso il nostro processo di segnalazione delle vulnerabilità e stipulano un accordo legale con noi. Accettiamo di lavorare con individui che: �� ��

• Si impegnano a verificare sistemi/ricerche senza recare danno a �ʘ��� o ai suoi clienti. �� ��
• Eseguono test su prodotti senza interessare i clienti o ricevere l'autorizzazione (consenso) dai clienti prima di intraprendere test di vulnerabilità sui loro dispositivi/software, ecc... ��
• Intraprendono test di vulnerabilità nell'ambito del nostro programma di divulgazione delle vulnerabilità in conformità ai termini e alle condizioni di qualsiasi accordo stipulato tra �ʘ��� e individui.
• Rispettano le leggi del proprio paese e di quello di �ʘ���. Ad esempio, la violazione delle leggi che culminerebbe solo in un reclamo da parte di �ʘ��� (non un'azione penale) potrebbe essere ritenuta accettabile poiché �ʘ��� autorizza l'attività (reverse engineering o aggiramento delle misure di protezione) per migliorare il sistema.
• Si astengono dal divulgare i dettagli delle vulnerabilità prima della scadenza di un periodo di tempo reciprocamente stabilito.
  

��

Criteri di preferenza, priorità e accettazione
Utilizzeremo i seguenti criteri per dare priorità e selezionare le presentazioni. ����

Cosa desideriamo ricevere:

• Rapporti scritti in inglese. ��
• Rapporti comprensivi di codice proof‐of‐concept, che ci aiuteranno nella selezione. ����
• Modo in cui è stata trovata la vulnerabilità, il suo impatto e qualsiasi potenziale rimedio. ����
• Eventuali piani o intenzioni di divulgazione pubblica. ����

Nota: i rapporti che includono solo dump di blocchi o altro output di strumenti automatici potrebbero ottenere una priorità più bassa.

��

Cosa puoi aspettarci da noi: ����

• Una risposta tempestiva alla tua e-mail (entro 5 giorni lavorativi).
• Sottoporremo i potenziali risultati al team prodotti appropriato per la verifica e la riproduzione. È possibile che tu venga contattato per chiederti ulteriori informazioni. ��
• Dopo la revisione di un rapporto, confermeremo l'esistenza della vulnerabilità e del suo impatto potenziale. ��Se viene stabilito che la vulnerabilità identificata ha un impatto sulla sicurezza del paziente, ci impegneremo al massimo per sviluppare una soluzione e intraprendere un'azione appropriata. Tutte le altre vulnerabilità verranno valutate e affrontate in base al rischio associato.
• Un dialogo aperto per discutere dei problemi. ����
• Notifica quando l'analisi della vulnerabilità ha superato ogni fase della revisione. ����
• Credito dopo che la vulnerabilità è stata confermata e risolta, se lo si desidera. ����
• Ci impegniamo a essere il più possibile trasparenti sui tempi di risoluzione e sulle problematiche che potrebbero verificarsi. ��
• Se non siamo in grado di risolvere i problemi di comunicazione o di altro tipo, abbiamo facoltà di coinvolgere una terza parte (CERT/CC, ICS-CERT o l'organo di controllo rilevante) per capire come gestire al meglio la vulnerabilità. ����

Tutti gli aspetti di questo processo sono soggetti a modifica senza preavviso, anche nel caso di eccezioni specifiche. Non è garantito alcun livello specifico di risposta.

��

Avviso

Se decidi di condividere informazioni con �ʘ���, accetti che le informazioni inviate vengano trattate come non proprietarie e non riservate e che �ʘ��� sia autorizzata a usare tali informazioni in qualsiasi maniera, interamente o in parte, senza alcuna restrizione. Accetti inoltre che l'invio delle informazioni non implica alcun diritto per te e alcun obbligo per �ʘ���.

Nell'ambito del nostro impegno verso la sicurezza dei prodotti e l'assistenza ai clienti, forniamo ai nostri clienti tutte le informazioni necessarie a valutare e ad affrontare le vulnerabilità e i rischi.

In modo specifico, la Comunicazione informativa del produttore in merito alla sicurezza dei dispositivi medici (MDS²) ci consente di fornire informazioni sulla sicurezza dei nostri prodotti.

Il prodotto MDS²��contiene��informazioni sulla sicurezza specifiche dei prodotti correlate alle funzionalità dei dispositivi, ad esempio:�� ����

• Conservazione, memorizzazione e trasmissione delle informazioni sanitarie protette (ePHI)��
• Back-up dei dati e supporti removibili
• Installazione delle patch di sicurezza e del software antivirus
• Accesso remoto al servizio
• Registri di audit dell'accesso alle informazioni sanitarie protette: visualizzazione; creazione, modifica ed eliminazione di record; importazione/esportazione

La comunicazione MDS², un modello di segnalazione universale che ci permette di fornire ai nostri clienti informazioni su prodotti specifici, è approvata dall'American College of Clinical Engineering (ACCE), dall'ECRI (ex Emergency Care Research Institute), dalla National Electrical Manufacturers Association (NEMA) e dalla Healthcare Information and Management Systems Society (HIMSS).

Il modulo contiene inoltre raccomandazioni per l'attuazione della messa in sicurezza e le note esplicative del produttore.
��