Nos comprometemos a garantizar la seguridad, efectividad e inocuidad de nuestros productos. La ciberseguridad de nuestros productos y la infraestructura para el cliente son un pilar integral de nuestro enfoque.

Los investigadores de seguridad se encargan de identificar vulnerabilidades y posibles problemas en ciberseguridad. Nuestro objetivo es asociarnos con éxito con la comunidad de investigación para comprender sus hallazgos. Presentamos el Proceso coordinado de divulgación de vulnerabilidades inicial para promover la colaboración y el informe de las vulnerabilidades en dispositivos médicos, tal y como se describe a continuación.

Nuestro programa de informe de vulnerabilidades abarca dispositivos médicos, softwares como dispositivos médicos y aplicaciones médicas móviles. No pretende brindar información sobre el soporte técnico de nuestros productos ni informar eventos adversos o quejas sobre productos.

Para informar un evento adverso o queja de calidad de un producto, comuníquese con stryker.com/productexperience.

Cómo enviar un informe de vulnerabilidad

Si identificó un posible punto débil en la seguridad de uno de nuestros dispositivos médicos, software como dispositivo médico o aplicación médica móvil, envíe un informe de vulnerabilidad al equipo de Seguridad de los productos de Stryker. Complete el siguiente formulario y envíe el documento completo por correo electrónico a ProductSecurity@stryker.com.

Información importante:
 

No emprenderemos acciones legales contra las personas que envíen informes a través de nuestro proceso de informe de las vulnerabilidades y celebren un acuerdo legal con nosotros. Aceptamos trabajar con individuos que hagan lo siguiente:    

• Participen en pruebas de sistemas o investigaciones sin infringir daños sobre Stryker o sus clientes.    
• Realicen pruebas sobre productos que no afecten a los clientes o reciban permisos o consentimientos de los clientes antes de involucrarse en pruebas de vulnerabilidad de sus dispositivos o software, etc.  
• Participen en pruebas de vulnerabilidades dentro del alcance de nuestro programa de divulgación de vulnerabilidades de conformidad con los términos y las condiciones de cualquier acuerdo concertado entre Stryker y las personas.
• Cumplan las leyes de su ubicación y de la ubicación de Stryker. Por ejemplo, infringir leyes que solo derivarían en una denuncia por parte de Stryker (y no una demanda penal) puede ser aceptable ya que Stryker está autorizando la actividad (ingeniería inversa o elusión de medidas de protección) para mejorar su sistema.
• Se abstengan de divulgar detalles de las vulnerabilidades antes de la finalización de cualquier plazo mutuamente acordado.
  

Criterios de preferencia, prioridad y aceptación
Usaremos los siguientes criterios para priorizar y clasificar las propuestas.   

Lo que nos gustaría encontrar en su propuesta:

• Informes escritos en inglés.  
• Informes que incluyan un código de demostración conceptual que nos brinde más soporte para la clasificación.   
• Cómo se encontró la vulnerabilidad, su impacto y cualquier posible solución.   
• Cualquier plan o intención de divulgación pública.   

Nota: Los informes que incluyan solo el volcado de error o cualquier otro resultado de una herramienta automática tendrán menor prioridad.

Lo que puede esperar de nosotros:   

• Una respuesta oportuna a su correo electrónico (dentro de los 5 días hábiles).
• Enviaremos los potenciales descubrimientos a los equipos de productos adecuados para su verificación y reproducción. Es posible que nos comuniquemos para solicitar más información.  
• Luego de la investigación de un informe, confirmaremos la existencia de la vulnerabilidad y el potencial impacto.  Si se determina que la vulnerabilidad identificada puede impactar sobre la seguridad del paciente, trabajaremos de forma expeditiva para desarrollar una resolución y tomar las acciones correspondientes. Cualquier otra vulnerabilidad se evaluará y abordará en función del riesgo asociado.
• Desarrollaremos un diálogo abierto para debatir los problemas.   
• Le avisaremos cuando se complete cada instancia de nuestra revisión del análisis de la vulnerabilidad.   
• En caso de que lo desee, le daremos crédito luego de validar y resolver la vulnerabilidad.   
• Nos comprometemos a actuar de la forma más transparente posible en el proceso de corrección y respecto de los problemas o desafíos que puedan surgir.  
• En caso de que no podamos resolver los problemas de comunicación o cualquier otro conflicto, incluiremos a un tercero neutral, como CERT/CC, ICS-CERT o el regulador correspondiente, para que nos ayude a determinar la mejor manera de resolver la vulnerabilidad.   

Todos los aspectos de este proceso están sujetos a cambios sin previo aviso, así como a excepciones según cada caso. No se garantiza ningún nivel de respuesta en particular.

Aviso

En el caso de que usted decida compartir alguna información con Stryker, acepta que la información que proporcione se considerará no exclusiva y no confidencial y que Stryker tiene permitido usar esa información de cualquier manera, en su totalidad o en parte, sin ninguna restricción. Asimismo, usted acepta que enviar información no crea ningún derecho para usted ni ninguna obligación para Stryker.

Como parte de nuestro compromiso con la seguridad de los productos y el servicio al cliente, brindamos información a nuestros clientes para ayudarlos a evaluar y abordar las vulnerabilidades y los riesgos.

En particular, usaremos la Declaración de divulgación del fabricante para la seguridad de los dispositivos médicos (MDS²) para proporcionar información de seguridad sobre nuestros productos.

La MDS² contiene información de seguridad específica de los productos, relacionada con las capacidades de los dispositivos, como por ejemplo:    

• Conservación, almacenamiento y transmisión de información electrónica de salud protegida (ePHI). 
• Respaldo de datos y capacidades de medios extraíbles.
• Instalación de parches de seguridad y software antivirus.
• Acceso remoto al servicio.
• Registros de auditoría de acceso a ePHI que incluyen lo siguiente: ver, crear, modificar y eliminar registros, importar y exportar

La MDS², un formulario de informe universal que nos permite brindarles a nuestros clientes información específica por modelo, cuenta con el respaldo de la American College of Clinical Engineering (ACCE), el ECRI (anteriormente, Emergency Care Research Institute), la National Electrical Manufacturers Association (NEMA) y la Healthcare Information and Management Systems Society (HIMSS).

El formulario también contiene recomendaciones sobre las prácticas de seguridad y notas explicativas del fabricante.