我们致力于确保产品的安全性、有效性及安全。我们的产品和客户基础设施的网络安全是我们的工作重点之一。

安全研究人员在识别网络安全漏洞和问题方面发挥着重要作用。我们的目标是与研究社群有效合作，了解他们的研究成果。我们正在引入自己的初始协调漏洞披露流程，从而更好地开展下述医疗设备漏洞的协作与报告工作。

漏洞报告计划的范围包括医疗设备、用作医疗设备的软件和移动医疗应用程序。它的目的不是提供有关产品的技术支持信息，也不是用于报告不良事件或产品质量投诉。

要报告不良事件或产品质量投诉，请通过 stryker.com/productexperience 与我们联系。

如何提交漏洞

如果您发现我们的医疗设备、用作医疗设备的软件或移动医疗应用程序存在潜在的安全漏洞，请填写以下表单并将填好的文件通过电子邮件发送至 ProductSecurity@stryker.com，以此向 Stryker 的产品安全团队提交漏洞报告。

重要信息：
 

我们不会对通过漏洞报告流程提交报告并与我们签订法律协议的个人采取法律行动。 我们同意与以下人员合作：    

• 在不对 Stryker 或其客户造成损害的情况下参与系统测试/研究的人员。    
• 在不影响客户或在对其设备/软件等进行漏洞测试之前获得客户的许可/同意的情况下对产品进行测试的人员。  
• 根据 Stryker 与个人之间签订的任何协议的条款和条件，在我们的漏洞披露计划范围内进行漏洞测试的人员。
• 遵守其所在地以及 Stryker 所在地法律的人员。 例如，违反只导致 Stryker 索赔（而非刑事索赔）的法律是可以接受的，因为 Stryker 正在授权该活动（逆向工程或规避保护措施）以改进其系统。
• 在双方商定的任意时间期限届满之前，不得泄露漏洞详细信息。
  

首选项、优先级和接受标准
我们将使用以下标准来确定提交内容的优先级和分类。   

我们希望您提供以下内容：

• 用英文撰写的报告。  
• 包含概念验证代码的报告，便于我们进行分类。   
• 您发现漏洞的方式，漏洞造成的影响以及任何可能的补救措施。   
• 公开披露的任何计划或意图。   

注意： 仅包含故障转储或其他自动工具输出的报告可能具有较低的优先级。

我们将进行以下操作：   

• 及时回复您的电子邮件（5 个工作日内）。
• 我们会将潜在的调查结果发送给相应的产品团队进行验证和再现。 在此阶段，我们可能会联系您提供其他信息。  
• 在对报告进行调查后，我们将确认漏洞是否存在及其潜在影响。  如果确定识别的漏洞会影响患者的安全，我们将迅速制定解决方案并采取适当行动。 将根据相关风险评估和解决所有其他漏洞。
• 展开讨论问题的开放式对话。   
• 漏洞分析完成审核的每个阶段时，发送通知。   
• 在验证并解决漏洞后视情况予以嘉奖。   
• 我们承诺尽可能透明地公开修复时间表以及可能涉及的问题或挑战。  
• 如果我们无法解决通信问题或其他问题，我们可能会引入中立的第三方（例如 CERT/CC、ICS-CERT 或相关监管机构）来帮助确定最好采用哪种方式处理漏洞。   

此流程的各个方面可能会有变更，恕不另行通知，个案例外情况亦是如此。 不保证特殊层面的回应。

注意

如果您决定与 Stryker 共享任何信息，即表示您同意您提交的信息将被视为非专有和非机密信息，并允许 Stryker 以任何方式使用全部或部分此类信息，而不受任何限制。 此外，您同意提交信息不会对您产生任何权利或对 Stryker 产生任何义务。

为客户提供信息，帮助他们评估和解决漏洞和风险，也是我们对产品安全和客户服务的承诺。

具体而言，我们使用“关于医疗设备安全的制造商披露声明”(MDS²) 来提供有关本公司产品的安全信息。

MDS² 包含与设备功能相关的产品特定安全信息，例如：

• 维护、存储和传输 ePHI 
• 数据备份和可移动媒体功能
• 安装安全补丁和防病毒软件
• 远程服务访问
• ePHI 访问的审核日志包括： 查看； 创建、修改和删除记录； 导入/导出

MDS² 是一种通用的报告表格，我们可用其为客户提供特定于型号的信息，该表格得到了美国临床工程协会 (ACCE)、ECRI（原名为急救医学研究所）、国家电气制造商协会 (NEMA)，以及医疗卫生信息和管理系统协会 (HIMSS) 的认可。

该表格还包含制造商提供的安全做法建议和解释性说明。