�ʘ���

�ʘ���는 제품의 안전과 효과, 그리고 보안을 보장하고자 노력하고 있습니다.�� �ʘ��� 제품 및 고객 인프라의 사이버보안은 우리가 중점을 두는 핵심 요소입니다.

보안 리서치 담당자는 사이버보안 취약성 및 관심사를 파악하는 역할을 담당합니다.�� �ʘ���의 목적은 리서치 커뮤니티와 효과적으로 연계하여 리서치 결과를 적시에 파악하는 것입니다.�� �ʘ���는 아래에서 설명하는 의료기기 취약성에 대해 협업과 보고를 활발히 할 수 있도록 일차 취약성 공개 협업 절차를 도입하고 있습니다.

�ʘ��� 취약성 보고 프로그램의 범위에는 의료기기, 의료기기로서의 소프트웨어 및 모바일 의료 애플리케이션이 포함됩니다.�� 이 프로그램은 제품에 대한 기술 지원 정보를 제공하거나 유해 사례 또는 제품 품질 불만을 보고하기 위한 것이 아닙니다.

유해 사례 또는 제품 품질 불만을 보고하려면 stryker.com/productexperience에서 �ʘ���에 문의하시기 바랍니다.

취약성 정보 제출 방법

의료기기, 의료기기로서의 소프트웨어 또는 모바일 의료 애플리케이션 중 하나에서 잠재적 보안 취약성이 파악되는 경우, 다음 ���식을 작성한 후 이메일(ProductSecurity@stryker.com)로 전송하여 �ʘ��� 제품 보안 팀에 취약성 보고서를 제출하십시오.

��

중요 정보:
��

�ʘ���에서는 �ʘ��� 취약성 보고 절차를 통해 보고서를 제출하고 �ʘ���와 법률 계약을 체결하는 개인에 대해서는 법적 조치를 취하지 않을 것입니다. �ʘ���는 다음과 같은 개인과 함께 협력하기로 동의합니다. �� ��

• �ʘ��� 또는 고객에게 해를 끼치지 않으면서 시스템 테스트/연구에 관여하는 자. �� ��
• 고객에게 영향을 미치지 않으면서 제품에 대한 테스트를 수행하거나 의료기기/소프트웨어에 대한 취약성 테스트에 참여하기 전에 고객으로부터 허가/동의를 받은 자. ��
• �ʘ���와 개인 간에 체결된 모든 계약의 약관에 따라 �ʘ���의 취약성 공개 프로그램의 범위 내에서 취약성 테스트에 참여하는 자.
• 개인이 거주하는 지역 및 �ʘ���가 소재한 지역의 현지 법률을 준수하는 자. 예를 들어, �ʘ���의 배상청구(형사손해 배상청구는 아님)만을 초래할 수 있는 법률 위반은 �ʘ���가 당사 시스템의 개선을 위한 활동(역엔지니어링 또는 보호 조치 회피)을 승인하는 것이라면 허용될 수 있습니다.
• 상호 합의된 기한이 만료되기 전에 취약성 세부사항을 공개하지 않는 자.
  

��

선호도, 우선 순위 지정 및 수락 기준
�ʘ���는 제출물의 우선 순위를 지정하고 분류할 때 다음 기준을 사용합니다. ����

�ʘ���가 귀하에게 바라는 사항:

• 영어로 작성된 보고서. ��
• 더욱 효과적으로 분류할 수 있도록 개념 증명 코드가 포함된 보고서. ����
• 취약성, 영향 및 잠재적 개선 사항을 파악하는 방법. ����
• 공개를 위한 모든 계획이나 의도. ����

참고: 크래시 덤프 또는 기타 자동화된 도구 출력만 포함하는 보고서는 우선 순위가 낮을 수 있습니다.

��

귀하가 �ʘ���에 바라는 사항: ����

• 이메일에 대한 신속한 대응(영업일 기준 5일 이내).
• �ʘ���는 검증 및 재현을 위해 잠재적 조사 결과를 해당 제품 팀에 전달할 것입니다. 이 단계에서 귀하에게 연락을 취해 추가 정보를 제공하도록 요청할 수 있습니다. ��
• �ʘ���에서는 보고서를 조사한 후에 취약성 여부와 잠재적 영향을 확인할 것입니다. ��파악된 취약성이 환자의 안전에 영향을 미치는 것으로 판단되는 경우, �ʘ���는 해결방안을 개발하고 적절한 조치를 취하기 위해 신속하게 대처할 것입니다. 모든 기타 취약성은 관련 위험을 토대로 평가를 거쳐 해결될 것입니다.
• 공개적인 대화를 통해 문제에 대한 논의가 진행될 것입니다. ����
• 취약성 분석에서 각 검토 단계를 완료했을 때 발송되는 알림. ����
• 원하는 경우 취약성이 검증 및 해결된 후에 제공되는 크레딧. ����
• �ʘ���는 개선 일정과 수반될 수 있는 문제 또는 당면 과제에 대해 가능한 한 투명성을 유지하기 위해 최선의 노력을 기울이고 있습니다. ��
• 커뮤니케이션 문제를 비롯한 모든 문제를 해결할 수 없는 경우, 최상의 취약성 처리 방안을 결정하는 데 있어서 지원을 받기 위해 중립적인 제3자(예: CERT/CC, ICS-CERT 또는 기타 관련 규제기관)를 참여시킬 수 있습니다. ����

이 절차의 모든 측면은 예고 없이 변경될 수 있으며 상황에 따라 예외가 있을 수 있습니다. 특정 수준의 대응은 보장되지 않습니다.

��

고지

귀하는 �ʘ���와 모든 정보를 공유하기로 결정하는 경우, 귀하는 귀하가 제출하는 정보가 비독점 및 비기밀 정보로 간주되며 �ʘ���가 해당 정보의 전체 또는 일부를 어떠한 제한 없이 사용할 수 있다는 데 동의합니다. 또한, 귀하는 정보를 제출한다고 해서 귀하에 대한 권리나 �ʘ���에 대한 의무가 발생하지 않는다는 데 동의합니다.

�ʘ���는 제품 보안 및 고객 서비스에 대한 노력의 일환으로 취약성과 위험을 평가 및 해결하는 데 도움이 되는 정보를 �ʘ���의 고객에게 제공합니다.

특히 �ʘ���는 의료기기 보안(MDS²)에 대한 제조사 공개 보고서를 이용하여 �ʘ���의 제품에 관한 보안 정보를 제공합니다.

MDS²에는 아래와 같이 기기의 기능에 관한 제품별 보안 정보가 포함됩니다.�� ����

• ePHI의 유지, 저장 및 전송��
• 데이터 백업 및 이동식 미디어 성능
• 보안 패치 및 안티바이러스 소프트웨어 설치
• 원격 서비스 접속
• 다음 항목을 비롯한 ePHI 접속 감사 로그: 기록 열람, 생성, 수정, 삭제, 가져오기/내보내기

�ʘ���가 고객에게 모델별 정보를 제공할 수 있는 범용 보고 ���식 MDS²는 ACCE(American College of Clinical Engineering), ECRI (이전 Emergency Care Research Institute), NEMA(National Electrical Manufacturers Association), 및 HIMSS(Healthcare Information and Management Systems Society)의 승인을 받았습니다.

본 ���식에는 제조사의 보안 활동 권고와 메모도 포함됩니다.
��