製品のセキュリティ
当社は製品の安全性と有効性、セキュリティの确保に取り组んでいます。当社製品および顾客インフラのサイバーセキュリティは、当社の重点的な取り组みにおける不可欠な要素です。
最新のセキュリテイ勧告
セキュリティ研究者は、サイバーセキュリティの脆弱性や悬念を特定する役割を担っており、当社では研究コミュニティとの効果的な提携によりその知见を理解することを目标としています。ストライカーは、最初の「调整された脆弱性开示プロセス」の导入により连携を推进するとともに、下记のような医疗机器の脆弱性の报告を促进します。
脆弱性報告プログラムの适用范囲には、医療機器、医療機器としてのソフトウェア、モバイル医療アプリケーションが含まれ、当社製品に関する技術的なサポート情報の提供や、有害事象?製品品質に対するクレームの報告を目的とするものではありません。
有害事象や製品品质に対するクレームについては、stryker.com/productexperienceからご报告ください。
脆弱性の対応方法
当社の医疗机器、医疗机器としてのソフトウェア、モバイル医疗アプリケーションに潜在的なセキュリティの脆弱性を特定した场合は、脆弱性の报告に関するフォームを记入し、ストライカーの製品セキュリティチーム(ProductSecurity@stryker.com)に送信してください。
?
重要なお知らせ:
?
当社が、脆弱性の報告プロセスを通じて報告書を送信し、当社と法的合意を結んだ個人に対する法的措置に関与することはありません。 当社は、下記を行う個人と提携することに同意します。 ? ?
- ストライカーまたは当社の顧客に危害を与えることなくシステムの試験/研究に従事する。 ? ?
- 顧客に影響を与えることなく製品の試験を実施する、機器/ソフトウェア等の脆弱性試験を行う前に顧客から許可/同意を得ている。 ?
- ストライカーと個人が同意した諸条件に従って脆弱性開示プログラムの适用范囲内で脆弱性試験を行う。
- 当該個人およびストライカーの所在地の法律を順守する。 たとえば、(刑事訴訟ではなく)ストライカーによる賠償請求のみが生じる法律違反は、ストライカーが自社システムの改善を目的に当該行為(リバースエンジニアリングや防御措置の迂回)を許可しているため許容されることがある。
- 相互に合意した期間が終了するまで脆弱性に関する详细を開示しない。
?
选好、优先顺位、判定基準
報告書の選別?優先順位付けには下記の基準を使用します。 ??
报告书を送信する际には、下记の条件をご确认ください。
- 報告書が英語で作成されている。 ?
- 報告書に概念実証コードを含んでいる(対応に優先順位を付けるうえで有用です)。 ??
- 脆弱性の検出方法、潜在的な修正。 ??
- 一般に公開する予定または意図の有無。 ??
注: クラッシュダンプやその他の自动ツールの出力のみを含む报告书は优先顺位が低くなります。
?
報告に対し当社は下記の対応を図ります。 ??
- メール受信から5営业日以内に适宜に対処。
- 潜在的な結果を該当の製品チームに報告し、検証?再現を実施(この段階で追加情報の提供を求める連絡が入ることがあります)。 ?
- 報告書の調査後、脆弱性および潜在的な影響の有無を確認。 ?特定された脆弱性が患者の安全に影響を及ぼすと判断された場合は、即座に解決策を策定し、適切な措置を講じる。 関連リスクに基づいてその他すべての脆弱性を評価し、対処。
- 問題についてオープンなディスカッションを行う。 ??
- 脆弱性分析の各段階終了時に通知を送信。 ??
- 脆弱性の検証?解決後にクレジットを付与(必要に応じて)。 ??
- 修正の期限および関連する可能性がある問題?課題について可能な限りの透明性を確保。 ?
- コミュニケーションやその他に関する問題を解決できない場合は、脆弱性の最適な対処法を特定するために中立的なサードパーティ(CERT/CC、ICS-CERT、関連する規制機関等)を採用することがある。 ??
上記プロセスのあらゆる側面は予告なしに変更されたり、個別的に例外となることがあります。 また、特定のレベルの対応が保証されるわけではありません。
?
通知
ストライカーと情報を共有することを決定した場合、提供していただく情報は非専売?非機密とみなされ、ストライカーがその情報の全体または一部を一切の制限を受けることなくどんな方法にも使用できることに同意することになります。 また、情報の送信によってご自身に対する権利やストライカーに対する義務が生じるわけではないことに同意します。
We will use the following criteria to prioritize and triage submissions. ??
?
选好、优先顺位、判定基準
報告書の選別?優先順位付けには下記の基準を使用します。 ??
報告書の選別?優先順位付けには下記の基準を使用します。 ??
製品セキュリティおよび顾客サービスの向上を目指す取り组みの一环として、当社では脆弱性やリスクの评価?対処に役立つ情报を顾客に提供しています。
具体的には、「医疗机器セキュリティのための製造者开示説明书」(MDS?)を使用して当社製品に関するセキュリティ情報を提供しています。
MDS?には、下記のような機器の機能に関する特定のセキュリティ情報が含まれます。? ??
- 别笔贬滨の维持、保管、送信?
- データのバックアップおよび取り外し可能なメディアの机能
- セキュリティパッチおよびアンチウイルスソフトウェアのインストール
- リモートサービスのアクセス
- 记録の确认、作成、修正、削除、インポート/エクスポートを含む别笔贬滨アクセスの监査ログ
モデルに固有の情报を顾客に提供できる汎用的な报告フォームである惭顿厂?は、アメリカ临床工学会(础颁颁贰)、贰颁搁滨(旧?紧急医疗研究会)、アメリカ电机工业会(狈贰惭础)、米国医疗情报?管理システム学会(贬滨惭厂厂)によって承认されています。
このフォームには製造メーカーによるセキュリティ推奨惯行や注釈も含まれます。
?
SKY CORP 2017-11-47 Rev 1