Política de divulgación de vulnerabilidad

[Introducción] [Autorización] [Guías ] [Alcance] [Reglas de participación] [Informar una vulnerabilidad] [Divulgación] [Reconocimientos] [ Preguntas]

Introducción

El Departamento de Salud y Servicios Humanos (HHS) se compromete a garantizar la seguridad del público estadounidense al proteger su información de divulgaciones injustificadas. Esta política pretende dar a los investigadores guías claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias en cuanto a cómo enviarnos las vulnerabilidades descubiertas.

Esta política describe qué sistemas y tipos de investigación están cubiertos bajo la misma, cómo enviarnos informes de vulnerabilidad y cuánto tiempo le pedimos a los investigadores de seguridad que esperen antes de divulgar vulnerabilidades de manera pública.

Queremos que los investigadores de seguridad se sientan cómodos al informar las vulnerabilidades que han descubierto, como lo establece esta política, para que podamos solucionarlas y mantener seguros a nuestros usuarios. Hemos desarrollado esta política para reflejar nuestros valores y sostener nuestro sentido de responsabilidad con los investigadores de seguridad que comparten su experiencia con nosotros de buena fe.

Autorización

Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación se autorice, trabajaremos con usted para entender y resolver el problema de manera rápida, y HHS no recomendará ni adoptará medidas legales en relación a su investigación.

Guías

En virtud de esta política, "investigación" significa las actividades en las que usted:

  • Nos notifica tan pronto como sea posible luego de descubrir un problema de seguridad potencial o real.
  • Hace todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
  • Utiliza exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utiliza un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o utilizar el exploit para "pivotar" a otros sistemas.
  • Nos concede una cantidad de tiempo razonable para resolver el problema antes de divulgarlo de manera pública.
  • No compromete de manera intencional la privacidad o seguridad del personal del HHS (por ejemplo, empleados civiles o miembros del ejército) ni de ningún tercero.
  • No compromete de manera intencional la propiedad intelectual o los intereses comerciales o financieros de cualquier miembro del personal o entidades del HHS, ni de ningún tercero.

Una vez que haya establecido que existe una vulnerabilidad o encuentra datos sensibles (incluida información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquier tercero), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.

Alcance

Esta política se aplica a los siguientes sistemas y servicios:

Organización Dominios
Administración para Niños y Familias (ACF)

preventionservices.abtsites.com
cbexpress.acf.hhs.gov
cblcc.acf.hhs.gov
cbportal.acf.hhs.gov
www.cfsrportal.acf.hhs.gov
childcareta.acf.hhs.gov
csbgpm.acf.hhs.gov
cwoutcomes.acf.hhs.gov
earlyeducatorcentral.acf.hhs.gov
ecmrs.acf.hhs.gov
ecquality.acf.hhs.gov
fysbdms.acf.hhs.gov
homvee.acf.hhs.gov
liheappm.acf.hhs.gov
map.acf.hhs.gov
nccan.acf.hhs.gov
ndacan.acf.hhs.gov
nhttac.acf.hhs.gov
nytd.acf.hhs.gov
occms.acf.hhs.gov
ocsp.acf.hhs.gov
hses.ohs.acf.hhs.gov
orrbms.acf.hhs.gov
shepherd.otip.acf.hhs.gov
pal.acf.hhs.gov
pathwaystowork.acf.hhs.gov
cptoolkitcatalog.peerta.acf.hhs.gov
rads.acf.hhs.gov
rhyclearinghouse.acf.hhs.gov
rhy-hmis.acf.hhs.gov
rpg-eds.acf.hhs.gov
teenpregnancy.acf.hhs.gov
wethinktwice.acf.hhs.gov
ncands.net
ssbgportal.net

Administración de la vida comunitaria (ACL) ncapps.acl.gov
agingstats.gov
Centros para el Control y la Prevención de Enfermedades (CDC) reportstream.cdc.gov
simplereport.gov
Centros de servicios de Medicare y Medicaid (CMS) cms.gov
cuidadodesalud.gov
insurekidsnow.gov
medicaid.gov
medicare.gov
mymedicare.gov
Salud y servicios humanos (HHS) foodsafety.gov
grantsolutions.gov
healthdata.gov
digitalmedia.hhs.gov
search.hhs.gov
webstandards.hhs.gov
www.hhs.gov
opioids.gov
stopbullying.gov
surgeongeneral.gov
Recursos de salud y Administración de servicios (HRSA) donaciondeorganos.gov
telehealth.hhs.gov
hrsa.gov
organdonor.gov
Institutos Nacionales de Salud (NIH) cms.csr.nih.gov
drm.csr.nih.gov
internet.csr.nih.gov
now.csr.nih.gov
public.csr.nih.gov
stage.public.csr.nih.gov
www.csr.nih.gov
fic.nih.gov
nccam.nih.gov
nccih.nih.gov
nei.nih.gov
niaaa.nih.gov
nibib.nih.gov
bsc.nidcd.nih.gov
bscdev.nidcd.nih.gov
council.nidcd.nih.gov
www.nidcd.nih.gov
nidcr.nih.gov
nigms.nih.gov
nimhd.nih.gov
ninr.nih.gov
ocio.nih.gov
Oficina del Subsecretario de Salud (OASH) Aids.gov
Girlshealth.gov
Minorityhealth.hhs.gov
opa.hhs.gov
ori.hhs.gov
Thinkculturalhealth.hhs.gov
Hiv.gov
Womenshealth.gov
Oficina de Prevención de Enfermedades y Promoción de la Salud (ODPHP) Fitness.gov
Health.gov
Healthfinder.gov
Healthypeople.gov

Esta política se aplica a los siguientes sistemas y servicios:

Los sistemas y servicios directamente asociados a los dominios y subdominios enumerados anteriormente están en el alcance. Además, cualquier sitio web publicado con un enlace a esta política se considerará dentro del alcance. Los sitios web que no están enumerados específicamente aquí o publicados con un enlace a esta política se consideran fuera del alcance de la misma. Las vulnerabilidades encontradas en sistemas no federales de nuestros proveedores quedan fuera del alcance de esta política y se deben informar directamente al proveedor de acuerdo a su política de divulgación (si la hay). Si no está seguro si un sistema o destino está dentro o no del alcance, comuníquese con support@responsibledisclosure.com antes de comenzar con su investigación o con el contacto de seguridad del nombre de dominio del sistema que aparece en .gov WHOIS.

Si bien desarrollamos y mantenemos otros sistemas o servicios a los que se puede acceder por Internet, pedimos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema fuera del alcance que cree que amerita pruebas, contáctenos para debatirlo primero. Ampliaremos el alcance de esta política con el tiempo.

Reglas de participación

Los investigadores de seguridad no deben:

  • Probar cualquier sistema que no esté establecido en la sección “Alcance” anterior,
  • divulgar información de vulnerabilidad excepto como se establece en las secciones “Informar una vulnerabilidad” y “Divulgación” anteriores,
  • participar en pruebas físicas de instalaciones o recursos,
  • participar en ingeniería social,
  • enviar correos electrónicos no solicitados a usuarios del HHS, incluidos mensajes de "phishing",
  • ejecutar o intentar ejecutar ataques de "denegación de servicio" o de "agotamiento de recursos",
  • introducir software malicioso,
  • hacer pruebas de una manera que podría degradar el funcionamiento de los sistemas del HHS; o dañar, interrumpir o deshabilitar intencionadamente los sistemas del HHS,
  • hacer pruebas en aplicaciones, sitios web o servicios de terceros que se integran o están vinculados a los sistemas del HHS,
  • borrar, alterar, compartir, retener o destruir datos del HHS, o eliminar el acceso a datos del HHS, o
  • utilizar un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos, establecer una presencia persistente en sistemas del HHS o "pivotar" a otros sistemas del HHS.

Los investigadores de seguridad pueden:

  • Ver o almacenar datos no públicos del HHS solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad.

Los investigadores de seguridad deben:

  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una vulnerabilidad,
  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una exposición de datos no públicos, y
  • purgar todos los datos no públicos del HHS al informar una vulnerabilidad.

Informar una vulnerabilidad

Aceptamos informes de vulnerabilidad en https://hhs.responsibledisclosure.com. Los informes se pueden enviar de forma anónima.  No admitimos correos electrónicos con encriptación PGP en este momento.
La información enviada en virtud de esta política se utilizará solo para fines de protección, para mitigar o solucionar vulnerabilidades. Si en sus hallazgos se incluyen vulnerabilidades descubiertas recientemente que afectan a todos los usuarios de un producto o servicio y no solo al HHS, podemos compartir su informe con la Agencia de Ciberseguridad e Infraestructura, donde las tratarán bajo su proceso coordinado de divulgación de vulnerabilidad. No compartiremos su nombre o información de contacto sin su consentimiento expreso.
Al hacer clic en "Enviar informe", indica que ha leído, entendido y acepta las guías descritas en esta política para llevar a cabo la investigación de seguridad y divulgar las vulnerabilidades o los indicadores de vulnerabilidades relacionados con los sistemas de información del HHS, y da su consentimiento para que el contenido de la comunicación y las comunicaciones de seguimiento se guarden en un sistema de información del Gobierno de los Estados Unidos.
Para ayudarnos a clasificar y priorizar los envíos, sugerimos que sus informes:

  • Cumplan todos los términos y condiciones legales que se detallan en https://www.hhs.gov/es/vulnerability-disclosure-policy y los Términos de servicio de divulgación responsable del HHS.
  • Describan la vulnerabilidad, dónde se descubrió y el posible impacto de su explotación.
  • Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles los scripts de prueba de concepto o las capturas de pantalla).

Divulgación

HHS se compromete a solucionar las vulnerabilidades en tiempo y forma. Sin embargo, reconocemos que la divulgación pública de una vulnerabilidad en ausencia de una acción correctiva fácilmente disponible puede aumentar en lugar de disminuir el riesgo. En consecuencia, le pedimos que se abstenga de compartir información sobre las vulnerabilidades descubiertas durante 90 días calendario después de haber recibido nuestro acuse de recibo de su informe. Si cree que habría que informar a otros sobre la vulnerabilidad antes de que apliquemos las medidas correctivas, le pedimos que lo coordine previamente con nosotros.
Podemos compartir informes de vulnerabilidad con la Agencia de Ciberseguridad e Infraestructura (CISA), así como con cualquier proveedor que se vea afectado. No compartiremos nombres o datos de seguridad de los investigadores de seguridad a menos que tengamos su permiso expreso.

Reconocimientos

Para los reconocimientos del programa de la Política de divulgación de vulnerabilidad del HHS, visite https://www.hhs.gov/es/vulnerability-disclosure-policy/acknowledgments

Preguntas

Se pueden enviar preguntas relacionadas a esta política a HHS.Cybersecurity@hhs.gov. También lo invitamos a que nos contacte si tiene sugerencias para mejorar esta política.

Contenido creado por Office of the Chief Information Officer (OCIO)
Última revisión del contenido: 10 de diciembre de 2021

Content created by Office of the Chief Information Officer (OCIO)
Content last reviewed