Política de divulgación de vulnerabilidad

[Introducción] [Autorización] [Guías ] [Alcance] [Reglas de participación] [Informar una vulnerabilidad] [Divulgación] [Reconocimientos] [ Preguntas]

Introducción

El Departamento de Salud y Servicios Humanos (HHS) se compromete a garantizar la seguridad del público estadounidense al proteger su información de divulgaciones injustificadas. Esta política pretende dar a los investigadores guías claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias en cuanto a cómo enviarnos las vulnerabilidades descubiertas.

Esta política describe qué sistemas y tipos de investigación están cubiertos bajo la misma, cómo enviarnos informes de vulnerabilidad y cuánto tiempo le pedimos a los investigadores de seguridad que esperen antes de divulgar vulnerabilidades de manera pública.

Queremos que los investigadores de seguridad se sientan cómodos al informar las vulnerabilidades que han descubierto, como lo establece esta política, para que podamos solucionarlas y mantener seguros a nuestros usuarios. Hemos desarrollado esta política para reflejar nuestros valores y sostener nuestro sentido de responsabilidad con los investigadores de seguridad que comparten su experiencia con nosotros de buena fe.

Autorización

Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación se autorice, trabajaremos con usted para entender y resolver el problema de manera rápida, y HHS no recomendará ni adoptará medidas legales en relación a su investigación.

Guías

En virtud de esta política, "investigación" significa las actividades en las que usted:

  • Nos notifica tan pronto como sea posible luego de descubrir un problema de seguridad potencial o real.
  • Hace todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
  • Utiliza exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utiliza un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o utilizar el exploit para "pivotar" a otros sistemas.
  • Nos concede una cantidad de tiempo razonable para resolver el problema antes de divulgarlo de manera pública.
  • No compromete de manera intencional la privacidad o seguridad del personal del HHS (por ejemplo, empleados civiles o miembros del ejército) ni de ningún tercero.
  • No compromete de manera intencional la propiedad intelectual o los intereses comerciales o financieros de cualquier miembro del personal o entidades del HHS, ni de ningún tercero.

Una vez que haya establecido que existe una vulnerabilidad o encuentra datos sensibles (incluida información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquier tercero), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.

Alcance

Esta política se aplica a los siguientes sistemas y servicios:

Todos los sistemas y servicios directamente asociados a los dominios enumerados anteriormente están en el alcance. Asimismo, los subdominios de cada listado, a menos que se excluyan explícitamente, siempre están dentro del alcance. Además, cualquier sitio web publicado con un enlace a esta política se considerará dentro del alcance. Los sitios web que no están enumerados específicamente aquí o publicados con un enlace a esta política se consideran fuera del alcance de la misma. Las vulnerabilidades encontradas en sistemas no federales de nuestros proveedores quedan fuera del alcance de esta política y se deben informar directamente al proveedor de acuerdo a su política de divulgación (si la hay). Si no está seguro si un sistema o destino está dentro o no del alcance, comuníquese con [email protected] antes de comenzar con su investigación o con el contacto de seguridad del nombre de dominio del sistema que aparece en .gov WHOIS.

Si bien desarrollamos y mantenemos otros sistemas o servicios a los que se puede acceder por Internet, pedimos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema fuera del alcance que cree que amerita pruebas, contáctenos para debatirlo primero. Ampliaremos el alcance de esta política con el tiempo.

Organization Domains
Administración para Niños y Familias (ACF)

acf.gov
childcare.gov
childwelfare.gov
fatherhood.gov
acf.hhs.gov
ncands.net
ssbgportal.net
cfsrportal.org
Administración de la vida comunitaria (ACL)

acl.gov
agingstats.gov
aoa.gov
eldercare.gov
longtermcare.gov
whaging.gov
whitehouseconferenceonaging.gov
namrs.net
La Agencia para la Investigación y la Calidad del Cuidado de la Salud (AHRQ)

mepstech.com
ahcpr.gov
ahrq.gov
guideline.gov
guidelines.gov
certs.hhs.gov
cahpsusernetwork.net
ahrqadmin.org
ahrqdev.org
chainonline.org
mepsdocs.org
pccds-ln.org
pcorcds-ln.org
psoppc.org
sitenv.org
uspreventiveservicestaskforce.org
Centros para el Control y la Prevención de Enfermedades (CDC)

cdc.gov
cdcpartners.gov
coronavirus.gov
flu.gov
healthindicators.gov
millionhearts.hhs.gov
ncvhs.hhs.gov
vaers.hhs.gov
pandemicflu.gov
selectagents.gov
simplereport.gov
e-cigarettes.surgeongeneral.gov
vaccine.gov
vaccines.gov
vacine.gov
vacines.gov
vacuna.gov
vacunas.gov
thecommunityguide.org
Centros de servicios de Medicare y Medicaid (CMS)

csscoperations.com
cms.gov
cuidadodesalud.gov
healthcare.gov
cms.hhs.gov
insurekidsnow.gov
medicaid.gov
medicalbillrights.gov
medicare.gov
mymedicare.gov
qualitynet.org
hcgov.us
Administración de Alimentos y Medicamentos (FDA)

betobaccofree.gov
fda.gov
blogs.fda.gov
ceportal.fda.gov
govdashboard.fda.gov
labels.fda.gov
betobaccofree.hhs.gov
nextlegends.gov
therealcost.gov
tobacco.gov
Recursos de salud y Administración de servicios (HRSA)

cares.linkhealth.com
covid19.linkhealth.com
donaciondeorganos.gov
telehealth.hhs.gov
hrsa.gov
organdonor.gov
hv-impact.edc.org
Servicio de Salud de los Indigenas (IHS)

ihs.gov
directihs.net
Institutos Nacionales de Salud (NIH)

alzheimers.gov
brain.gov
brainhealth.gov
cancer.gov
cerebrosano.gov
clinicaltrial.gov
clinicaltrials.gov
collegedrinkingprevention.gov
diabetescommittee.gov
docline.gov
drugabuse.gov
edison.gov
everytrycounts.gov
genome.gov
hearttruth.gov
agreementbuilder.hhs.gov
asrp.hhs.gov
collaborate-acl.hhs.gov
das.hhs.gov
ocrportal.hhs.gov
oga.hhs.gov
omhaportal.hhs.gov
safetyreporting.hhs.gov
iedison.gov
locatorplus.gov
medlineplus.gov
mesh.gov
ncifcrf.gov
nih.gov
nlm.gov
nnlm.gov
pubmed.gov
smokefree.gov
thebraininitiative.gov
thisfreelife.gov
tox21.gov
ncats.io
brainattackcoalition.org
charmm.org
citdbase.org
coronaviruspreventionnetwork.org
ctsu.org
gem-measures.org
genomereference.org
nci-fyi.org
ncihub.org
nhlbiwgs.org
proteincapture.org
scienceforum.sc
Oficina de la Inspectora General (OIG)

hhsoig.gov
oig.hhs.gov
Oficina del Secretario (OS)

worklife4you.com
aids.gov
bioethics.gov
covid.gov
covidtest.gov
covidtests.gov
dhhs.gov
fitness.gov
foodsafety.gov
girlshealth.gov
grants.gov
grantsolutions.gov
health.gov
healthdata.gov
healthfinder.gov
healthit.gov
healthypeople.gov
hhs.gov
hiv.gov
medicalcountermeasures.gov
opioids.gov
phe.gov
psc.gov
stopbullying.gov
surgeongeneral.gov
usphs.gov
womenshealth.gov
youth.gov
oahpmdata.net
Administración de Servicios de Salud Mental y Abuso de Sustancias (SAMHSA)

findtreatment.gov
mentalhealth.gov
recoverymonth.gov
samhsa.gov
stopalcoholabuse.gov

Reglas de participación

Los investigadores de seguridad no deben:

  • Probar cualquier sistema que no esté establecido en la sección “Alcance” anterior,
  • divulgar información de vulnerabilidad excepto como se establece en las secciones “Informar una vulnerabilidad” y “Divulgación” anteriores,
  • participar en pruebas físicas de instalaciones o recursos,
  • participar en ingeniería social,
  • enviar correos electrónicos no solicitados a usuarios del HHS, incluidos mensajes de "phishing",
  • ejecutar o intentar ejecutar ataques de "denegación de servicio" o de "agotamiento de recursos",
  • introducir software malicioso,
  • hacer pruebas de una manera que podría degradar el funcionamiento de los sistemas del HHS; o dañar, interrumpir o deshabilitar intencionadamente los sistemas del HHS,
  • hacer pruebas en aplicaciones, sitios web o servicios de terceros que se integran o están vinculados a los sistemas del HHS,
  • borrar, alterar, compartir, retener o destruir datos del HHS, o eliminar el acceso a datos del HHS, o
  • utilizar un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos, establecer una presencia persistente en sistemas del HHS o "pivotar" a otros sistemas del HHS.

Los investigadores de seguridad pueden:

  • Ver o almacenar datos no públicos del HHS solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad.

Los investigadores de seguridad deben:

  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una vulnerabilidad,
  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una exposición de datos no públicos, y
  • purgar todos los datos no públicos del HHS al informar una vulnerabilidad.

Informar una vulnerabilidad

Aceptamos informes de vulnerabilidad en https://hhs.responsibledisclosure.com. Los informes se pueden enviar de forma anónima.  No admitimos correos electrónicos con encriptación PGP en este momento.

La información enviada en virtud de esta política se utilizará solo para fines de protección, para mitigar o solucionar vulnerabilidades. Si en sus hallazgos se incluyen vulnerabilidades descubiertas recientemente que afectan a todos los usuarios de un producto o servicio y no solo al HHS, podemos compartir su informe con la Agencia de Ciberseguridad e Infraestructura, donde las tratarán bajo su proceso coordinado de divulgación de vulnerabilidad. No compartiremos su nombre o información de contacto sin su consentimiento expreso.

Al hacer clic en "Enviar informe", indica que ha leído, entendido y acepta las guías descritas en esta política para llevar a cabo la investigación de seguridad y divulgar las vulnerabilidades o los indicadores de vulnerabilidades relacionados con los sistemas de información del HHS, y da su consentimiento para que el contenido de la comunicación y las comunicaciones de seguimiento se guarden en un sistema de información del Gobierno de los Estados Unidos.

Para ayudarnos a clasificar y priorizar los envíos, sugerimos que sus informes:

  • Cumplan todos los términos y condiciones legales que se detallan en https://www.hhs.gov/vulnerability-disclosure-policy y los Términos de servicio de divulgación responsable del HHS.
  • Describan la vulnerabilidad, dónde se descubrió y el posible impacto de su explotación.
  • Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles los scripts de prueba de concepto o las capturas de pantalla).

Divulgación

HHS se compromete a solucionar las vulnerabilidades en tiempo y forma. Sin embargo, reconocemos que la divulgación pública de una vulnerabilidad en ausencia de una acción correctiva fácilmente disponible puede aumentar en lugar de disminuir el riesgo. En consecuencia, le pedimos que se abstenga de compartir información sobre las vulnerabilidades descubiertas durante 90 días calendario después de haber recibido nuestro acuse de recibo de su informe. Si cree que habría que informar a otros sobre la vulnerabilidad antes de que apliquemos las medidas correctivas, le pedimos que lo coordine previamente con nosotros.

Podemos compartir informes de vulnerabilidad con la Agencia de Ciberseguridad e Infraestructura (CISA), así como con cualquier proveedor que se vea afectado. No compartiremos nombres o datos de seguridad de los investigadores de seguridad a menos que tengamos su permiso expreso.

Reconocimientos

Para los reconocimientos del programa de la Política de divulgación de vulnerabilidad del HHS, visite https://www.hhs.gov/vulnerability-disclosure-policy/acknowledgments

Preguntas

Se pueden enviar preguntas relacionadas a esta política a [email protected]. También lo invitamos a que nos contacte si tiene sugerencias para mejorar esta política.

Contenido creado por Office of the Chief Information Officer (OCIO)
Última revisión del contenido: 10 de diciembre de 2021

Content created by Office of the Chief Information Officer (OCIO)
Content last reviewed