Stryker는 제품의 안전과 효과, 그리고 보안을 보장하고자 노력하고 있습니다.  Stryker 제품 및 고객 인프라의 사이버보안은 우리가 중점을 두는 핵심 요소입니다.

보안 리서치 담당자는 사이버보안 취약성 및 관심사를 파악하는 역할을 담당합니다.  Stryker의 목적은 리서치 커뮤니티와 효과적으로 연계하여 리서치 결과를 적시에 파악하는 것입니다.  Stryker는 아래에서 설명하는 의료기기 취약성에 대해 협업과 보고를 활발히 할 수 있도록 일차 취약성 공개 협업 절차를 도입하고 있습니다.

Stryker 취약성 보고 프로그램의 범위에는 의료기기, 의료기기로서의 소프트웨어 및 모바일 의료 애플리케이션이 포함됩니다.  이 프로그램은 제품에 대한 기술 지원 정보를 제공하거나 유해 사례 또는 제품 품질 불만을 보고하기 위한 것이 아닙니다.

유해 사례 또는 제품 품질 불만을 보고하려면 stryker.com/productexperience에서 Stryker에 문의하시기 바랍니다.

취약성 정보 제출 방법

의료기기, 의료기기로서의 소프트웨어 또는 모바일 의료 애플리케이션 중 하나에서 잠재적 보안 취약성이 파악되는 경우, 다음 양식을 작성한 후 이메일(ProductSecurity@stryker.com)로 전송하여 Stryker 제품 보안 팀에 취약성 보고서를 제출하십시오.

중요 정보:
 

Stryker에서는 Stryker 취약성 보고 절차를 통해 보고서를 제출하고 Stryker와 법률 계약을 체결하는 개인에 대해서는 법적 조치를 취하지 않을 것입니다. Stryker는 다음과 같은 개인과 함께 협력하기로 동의합니다.    

• Stryker 또는 고객에게 해를 끼치지 않으면서 시스템 테스트/연구에 관여하는 자.    
• 고객에게 영향을 미치지 않으면서 제품에 대한 테스트를 수행하거나 의료기기/소프트웨어에 대한 취약성 테스트에 참여하기 전에 고객으로부터 허가/동의를 받은 자.  
• Stryker와 개인 간에 체결된 모든 계약의 약관에 따라 Stryker의 취약성 공개 프로그램의 범위 내에서 취약성 테스트에 참여하는 자.
• 개인이 거주하는 지역 및 Stryker가 소재한 지역의 현지 법률을 준수하는 자. 예를 들어, Stryker의 배상청구(형사손해 배상청구는 아님)만을 초래할 수 있는 법률 위반은 Stryker가 당사 시스템의 개선을 위한 활동(역엔지니어링 또는 보호 조치 회피)을 승인하는 것이라면 허용될 수 있습니다.
• 상호 합의된 기한이 만료되기 전에 취약성 세부사항을 공개하지 않는 자.
  

선호도, 우선 순위 지정 및 수락 기준
Stryker는 제출물의 우선 순위를 지정하고 분류할 때 다음 기준을 사용합니다.   

Stryker가 귀하에게 바라는 사항:

• 영어로 작성된 보고서.  
• 더욱 효과적으로 분류할 수 있도록 개념 증명 코드가 포함된 보고서.   
• 취약성, 영향 및 잠재적 개선 사항을 파악하는 방법.   
• 공개를 위한 모든 계획이나 의도.   

참고: 크래시 덤프 또는 기타 자동화된 도구 출력만 포함하는 보고서는 우선 순위가 낮을 수 있습니다.

귀하가 Stryker에 바라는 사항:   

• 이메일에 대한 신속한 대응(영업일 기준 5일 이내).
• Stryker는 검증 및 재현을 위해 잠재적 조사 결과를 해당 제품 팀에 전달할 것입니다. 이 단계에서 귀하에게 연락을 취해 추가 정보를 제공하도록 요청할 수 있습니다.  
• Stryker에서는 보고서를 조사한 후에 취약성 여부와 잠재적 영향을 확인할 것입니다.  파악된 취약성이 환자의 안전에 영향을 미치는 것으로 판단되는 경우, Stryker는 해결방안을 개발하고 적절한 조치를 취하기 위해 신속하게 대처할 것입니다. 모든 기타 취약성은 관련 위험을 토대로 평가를 거쳐 해결될 것입니다.
• 공개적인 대화를 통해 문제에 대한 논의가 진행될 것입니다.   
• 취약성 분석에서 각 검토 단계를 완료했을 때 발송되는 알림.   
• 원하는 경우 취약성이 검증 및 해결된 후에 제공되는 크레딧.   
• Stryker는 개선 일정과 수반될 수 있는 문제 또는 당면 과제에 대해 가능한 한 투명성을 유지하기 위해 최선의 노력을 기울이고 있습니다.  
• 커뮤니케이션 문제를 비롯한 모든 문제를 해결할 수 없는 경우, 최상의 취약성 처리 방안을 결정하는 데 있어서 지원을 받기 위해 중립적인 제3자(예: CERT/CC, ICS-CERT 또는 기타 관련 규제기관)를 참여시킬 수 있습니다.   

이 절차의 모든 측면은 예고 없이 변경될 수 있으며 상황에 따라 예외가 있을 수 있습니다. 특정 수준의 대응은 보장되지 않습니다.

고지

귀하는 Stryker와 모든 정보를 공유하기로 결정하는 경우, 귀하는 귀하가 제출하는 정보가 비독점 및 비기밀 정보로 간주되며 Stryker가 해당 정보의 전체 또는 일부를 어떠한 제한 없이 사용할 수 있다는 데 동의합니다. 또한, 귀하는 정보를 제출한다고 해서 귀하에 대한 권리나 Stryker에 대한 의무가 발생하지 않는다는 데 동의합니다.

Stryker는 제품 보안 및 고객 서비스에 대한 노력의 일환으로 취약성과 위험을 평가 및 해결하는 데 도움이 되는 정보를 Stryker의 고객에게 제공합니다.

특히 Stryker는 의료기기 보안(MDS²)에 대한 제조사 공개 보고서를 이용하여 Stryker의 제품에 관한 보안 정보를 제공합니다.

MDS²에는 아래와 같이 기기의 기능에 관한 제품별 보안 정보가 포함됩니다.    

• ePHI의 유지, 저장 및 전송 
• 데이터 백업 및 이동식 미디어 성능
• 보안 패치 및 안티바이러스 소프트웨어 설치
• 원격 서비스 접속
• 다음 항목을 비롯한 ePHI 접속 감사 로그: 기록 열람, 생성, 수정, 삭제, 가져오기/내보내기

Stryker가 고객에게 모델별 정보를 제공할 수 있는 범용 보고 양식 MDS²는 ACCE(American College of Clinical Engineering), ECRI (이전 Emergency Care Research Institute), NEMA(National Electrical Manufacturers Association), 및 HIMSS(Healthcare Information and Management Systems Society)의 승인을 받았습니다.

본 양식에는 제조사의 보안 활동 권고와 메모도 포함됩니다.