產品安全

我們的產品安全承諾

我們致力確保產品的安全及有效性。  Cybersecurity of our products and our customer’s infrastructure is an integral part of our focus.

最新安全公告

Stryker Vocera 報告伺服器和語音伺服器弱點

閱讀更多

Microsoft Print Spooler 弱點(CVE-2021-34527 和 CVE-2021-36958)

閱讀更多

Apache「Log4j」開放原始碼日誌庫

閱讀更多

「Urgent 11」弱點 - Wind River VxWorks (ICSA-19-211-01)

閱讀更多

產品漏洞揭露報告

資安研究員在識別網路安全性漏洞及問題方面發揮著重要作用。  Our goal is to effectively partner with the research community to understand their findings. 我們將引入初始協調漏洞揭露流程,以促進關於醫療器械漏洞的合作及報告,詳見下文。

範圍

我們的弱點報告計畫的範圍涵蓋醫療器材、軟體即醫療器材和行動醫療應用程式。這並非要用於提供我們產品相關的技術支援資訊,或提報不良事件或產品品質投訴。

若要提報不良事件或產品品質投訴,請在 stryker.com/productexperience 與我們聯絡。

如何提交弱點

如果您在我們的醫療器材、軟體即醫療器材或行動醫療應用程式中發現了潛在的安全性弱點,請提交弱點報告到 Stryker 的產品安全性團隊,方法是填妥以下表格,並將完成的文件透過電子郵件傳送到 ProductSecurity@stryker.com

 
重要資訊:
 

我們不會針對透過我們的弱點報告程序提交報告並與我們簽訂法律協議的個體採取法律行動。 我們同意與以下的個體合作:    

  • 在不危及 Stryker 或其客戶下參與系統測試/研究。    
  • 在不影響客戶下對產品執行測試,或在對客戶的裝置/軟體等進行弱點測試前先徵求客戶的許可/同意。  
  • 依照使用條款和 Stryker 與個體之間構成的任何協議,在我們的弱點揭露計畫的範圍內參與弱點測試。
  • 遵守其當地和 Stryker 所在地的法律。 例如,違反只會導致 Stryker 索賠的法律 (但非犯罪索賠) 可能是可接受的,因為 Stryker 授權該活動 (反向工程或來規避保護措施) 改進其系統。
  • 在任何雙方同意的時間範圍到期前避免揭露弱點細節。

 

優先權、優先處理和受理準則
我們將採用以下準則來優先處理和分類提交內容。   

我們希望您提交的內容:

  • 報告以英文書寫。  
  • 報告包含概念證明程式碼,這將更方便我們分類。   
  • 您發現弱點的方式、衝擊及任何可能的修復方法。   
  • 公開揭露的任何計畫或意圖。   

注意: 僅包含當機傾印或其他自動化工具輸出的報告可能會以較低的優先順序處理。

 

您可以預期我們:   

  • 及時回覆您的電子郵件 (5 個工作天內)
  • 將可能的發現轉呈給適當的產品團隊進行驗證和重現。 我們可能會在這個階段聯絡您提供更多資訊。  
  • 我們將隨著報告的調查過程,確認弱點的存在和可能的衝擊。  如果發現的弱點確定會影響患者安全,我們將努力迅速開發解決方案並採取適當的行動。 所有其他弱點都將根據相關聯的風險進行評估並解決。
  • 公開討論問題。   
  • 在我們審查的各個階段完成弱點分析時進行通知。   
  • 在弱點經過驗證和解決後予以公開致謝 (若同意)。   
  • 有關於補救時間表以及可能涉及的問題或挑戰,我們會努力盡可能保持公開透明。  
  • 如果我們無法解決通訊問題或其他問題,可能會請中立的第三方 (例如 CERT/CC、ICS-CERT 或相關監管機構) 來協助決定如何以最佳的方式來處理弱點。   

此程序的所有層面以及視各案例的例外情況,如有變更恕不另行通知。 不保證給予具體程度的回覆。

 

通知

在您決定與 Stryker 分享任何資訊的情況下,您同意您提交的資訊將視為非專利且非機密,並且允許 Stryker 在無任何限制下以任何方式使用全部或部分此類資訊。 在此,您同意提交資訊並不對您構成任何權利或對 Stryker 構成任何義務。

我們將採用以下準則來優先處理和分類提交內容。   

 
優先權、優先處理和受理準則
我們將採用以下準則來優先處理和分類提交內容。   

醫療器械安全的製造商揭露聲明

作為我們的產品安全及客戶服務承諾的一部分,我們向客戶提供資訊,協助客戶評估及應對漏洞及風險。

具體而言,我們使用醫療器械安全的製造商揭露聲明(MDS²)提供關於我們產品的安全資訊。

MDS² 含有 與設備能力有關的產品特定安全資訊,如:    

  • 維護、儲存及傳輸ePHI 
  • 資料備份及可卸除媒體能力
  • 安裝安全修補程式及防毒軟體
  • 遠端服務存取
  • ePHI存取的稽核日誌,包括:查看;建立、修改及刪除記錄;匯入/匯出

MDS²是能讓我們向客戶提供型號特定資訊的通用報告表格,已經美國臨床工程學會(ACCE)、ECRI(前稱急救護理研究所)、國家電氣製造商協會(NEMA)以及保健資訊及管理系統學會(HIMSS)背書。

該表格還包含來自製造商的安全實務建議及說明性註解。