Seguridad de productos

Nuestro compromiso con la seguridad de los productos

Estamos comprometidos a garantizar la seguridad y eficacia de nuestros productos. La ciberseguridad de nuestros productos y la infraestructura de nuestros clientes es una parte integral de nuestro enfoque.

Avisos de seguridad m谩s recientes

Vulnerabilidades del servidor de informes y del servidor de voz de 娛樂城 Vocera

Leer m谩s

Vulnerabilidades del Administrador de trabajos de impresi贸n de Microsoft (CVE-2021-34527 y CVE-2021-36958)

Leer m谩s

Biblioteca de registro de c贸digo abierto "Log4j" de Apache

Leer m谩s

Vulnerabilidades "Urgent 11" - Wind River VxWorks (ICSA-19-211-01)

Leer m谩s
VER TODOS LOS ART脥CULOS

Informe de divulgaci贸n de vulnerabilidades del producto

Los investigadores de seguridad desempe帽an una funci贸n en la identificaci贸n de las vulnerabilidades y preocupaciones relativas a la ciberseguridad. Nuestro objetivo es asociarnos de manera eficaz con la comunidad investigadora para entender sus descubrimientos. Presentamos nuestro primer Proceso Coordinado de Divulgaci贸n de Vulnerabilidades para fomentar la colaboraci贸n y la notificaci贸n de las vulnerabilidades de los dispositivos m茅dicos como se describe a continuaci贸n.

Alcance

El alcance del programa de notificaci贸n de vulnerabilidades incluye dispositivos m茅dicos, software como dispositivo m茅dico y aplicaciones m茅dicas m贸viles. No es un programa para facilitar informaci贸n de asistencia t茅cnica sobre nuestros productos o para notificar incidentes adversos o quejas relativas a la calidad del producto.

Para notificar un incidente adverso o una queja relativa a la calidad del producto, p贸ngase en contacto con nosotros en听stryker.com/productexperience.

C贸mo presentar una vulnerabilidad

Si ha identificado una posible vulnerabilidad de seguridad en uno de nuestros dispositivos m茅dicos, software como dispositivo m茅dico o aplicaciones m茅dicas m贸viles, env铆e un informe de vulnerabilidad al Equipo de Seguridad de Producto de 娛樂城; para ello rellene el siguiente formulario y env铆e por correo electr贸nico el documento completado a ProductSecurity@stryker.com.

Informaci贸n importante:

No emprenderemos acciones legales contra personas que env铆en informes a trav茅s de nuestro proceso de Notificaci贸n de Vulnerabilidades y firmen un acuerdo legal con nosotros. Accedemos a trabajar con personas que: 听 听

  • Participen en el an谩lisis de sistemas/investigaciones sin da帽ar a 娛樂城 ni a sus clientes. 听 听
  • Realicen pruebas de productos sin afectar a nuestros clientes o reciban el permiso/consentimiento de los clientes antes de participar en an谩lisis de vulnerabilidad en sus dispositivos/software, etc. 听
  • Participen en an谩lisis de vulnerabilidad dentro del alcance de nuestro programa de divulgaci贸n de vulnerabilidades de acuerdo con los t茅rminos y condiciones de cualquier acuerdo firmado entre 娛樂城 y personas individuales.
  • Cumplan con las leyes de su ubicaci贸n y de la ubicaci贸n de 娛樂城. Por ejemplo, el incumplimiento de leyes que podr铆an provocar una demanda por parte de 娛樂城 (y no una demanda penal) puede ser aceptable si 娛樂城 autoriza la actividad (por ejemplo, realizar ingenier铆a inversa o eludir medidas de protecci贸n) para mejorar su sistema.
  • Se abstengan de divulgar detalles de la vulnerabilidad antes de que caduque el per铆odo acordado mutuamente.

Criterios de preferencias, priorizaci贸n y aceptaci贸n
Utilizaremos los siguientes criterios para priorizar y clasificar las notificaciones recibidas. 听听

Lo que esperamos que nos proporcione:

  • Informes escritos en ingl茅s. 听
  • Informes con c贸digo de prueba de concepto, para ayudarnos a realizar la clasificaci贸n. 听听
  • C贸mo ha detectado la vulnerabilidad, el impacto y cualquier posible soluci贸n. 听听
  • Cualquier plan o intenci贸n para la divulgaci贸n p煤blica. 听听

Nota: Los informes que incluyan 煤nicamente volcados de memoria o resultados de herramientas autom谩ticos pueden recibir una prioridad inferior.

Lo que puede esperar de nosotros: 听听

  • Una respuesta r谩pida a su correo electr贸nico (durante los 5 d铆as laborables siguientes).
  • Dirigiremos los resultados posibles a los correspondientes equipos de producto para su verificaci贸n y reproducci贸n. En esta fase, es posible que nos pongamos en contacto con usted para que nos facilite informaci贸n adicional. 听
  • Tras una investigaci贸n del informe, confirmaremos la existencia de la vulnerabilidad y el posible impacto. 听Si se determina que la vulnerabilidad identificada va a causar un impacto en la seguridad del paciente, trabajaremos sin demora hasta elaborar una soluci贸n y adoptar la acci贸n correspondiente. El resto de las vulnerabilidades se evaluar谩n y solucionar谩n en funci贸n del riesgo asociado.
  • Un di谩logo abierto para hablar de los problemas. 听听
  • Notificaci贸n de cuando el an谩lisis de vulnerabilidad haya completado cada fase de nuestra revisi贸n. 听听
  • Reconocimiento una vez se haya validado y resuelto la vulnerabilidad, si as铆 lo desea. 听听
  • Nos comprometemos a ser todo lo transparentes que podamos en cuanto al plazo de soluci贸n y a los problemas y desaf铆os que puedan surgir. 听
  • Si no somos capaces de resolver problemas de comunicaci贸n o de otro tipo, puede que incorporemos a una tercera parte neutral (como CERT/CC, ICS-CERT o el organismo regulador correspondiente) para que nos ayude a determinar el mejor modo de gestionar la vulnerabilidad. 听听

Todos los aspectos de este proceso est谩n sujetos a cambio sin previo aviso, as铆 como a excepciones en funci贸n de cada caso. No se garantiza ning煤n nivel concreto de respuesta.

Aviso

En caso de que decida compartir cualquier informaci贸n con 娛樂城, acepta que la informaci贸n que env铆e se considerar谩 como p煤blica y no confidencial y que 娛樂城 puede usarla del modo en que desee, de manera completa o parcial, sin ninguna restricci贸n. Adem谩s, acepta que el env铆o de informaci贸n no le otorga ning煤n derecho ni establece ninguna obligaci贸n para 娛樂城.

Utilizaremos los siguientes criterios para priorizar y clasificar las notificaciones recibidas. 听听

Criterios de preferencias, priorizaci贸n y aceptaci贸n
Utilizaremos los siguientes criterios para priorizar y clasificar las notificaciones recibidas. 听听

Declaraci贸n del Fabricante sobre Divulgaci贸n de la Seguridad de los Dispositivos M茅dicos

Como parte de nuestro compromiso con la seguridad de los productos y el servicio al cliente, brindamos informaci贸n a nuestros clientes para ayudarles a evaluar y abordar las vulnerabilidades y los riesgos.

Espec铆ficamente, usamos la Declaraci贸n del Fabricante sobre Divulgaci贸n de la Seguridad de los Dispositivos M茅dicos (Medical Device Security, MDS虏) para proporcionar informaci贸n sobre la seguridad de nuestros productos.

La MDS虏 contiene informaci贸n sobre la seguridad espec铆fica de los productos relacionada con las capacidades de los dispositivos, por ejemplo:

  • Mantenimiento, almacenamiento y transmisi贸n de la informaci贸n electr贸nica de salud protegida (electronic protected health information, ePHI)听
  • Copia de seguridad de datos y capacidades de medios extra铆bles
  • Instalaci贸n de revisiones de seguridad y software antivirus
  • Acceso remoto al servicio
  • Registros de auditor铆a del acceso a ePHI que incluyen: visualizaci贸n; creaci贸n, modificaci贸n y eliminaci贸n de registros; importaci贸n/exportaci贸n

La MDS虏, un formulario de comunicaci贸n universal que nos permite brindarles a nuestros clientes informaci贸n espec铆fica del modelo, est谩 avalada por el American College of Clinical Engineering (ACCE), ECRI (anteriormente Emergency Care Research Institute), la National Electrical Manufacturers Association (NEMA) y la Healthcare Information and Management Systems Society (HIMSS).

El formulario tambi茅n contiene recomendaciones sobre las pr谩cticas de seguridad y notas explicativas del fabricante.