[Introducción] [Autorización] [Guías ] [Alcance] [Reglas de participación] [Informar una vulnerabilidad] [Divulgación] [Reconocimientos] [ Preguntas]
Introducción
El Departamento de Salud y Servicios Humanos (HHS) se compromete a garantizar la seguridad del público estadounidense al proteger su información de divulgaciones injustificadas. Esta política pretende dar a los investigadores guías claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias en cuanto a cómo enviarnos las vulnerabilidades descubiertas.
Esta política describe qué sistemas y tipos de investigación están cubiertos bajo la misma, cómo enviarnos informes de vulnerabilidad y cuánto tiempo le pedimos a los investigadores de seguridad que esperen antes de divulgar vulnerabilidades de manera pública.
Queremos que los investigadores de seguridad se sientan cómodos al informar las vulnerabilidades que han descubierto, como lo establece esta política, para que podamos solucionarlas y mantener seguros a nuestros usuarios. Hemos desarrollado esta política para reflejar nuestros valores y sostener nuestro sentido de responsabilidad con los investigadores de seguridad que comparten su experiencia con nosotros de buena fe.
Autorización
Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación se autorice, trabajaremos con usted para entender y resolver el problema de manera rápida, y HHS no recomendará ni adoptará medidas legales en relación a su investigación.
Guías
En virtud de esta política, "investigación" significa las actividades en las que usted:
- Nos notifica tan pronto como sea posible luego de descubrir un problema de seguridad potencial o real.
- Hace todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
- Utiliza exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utiliza un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o utilizar el exploit para "pivotar" a otros sistemas.
- Nos concede una cantidad de tiempo razonable para resolver el problema antes de divulgarlo de manera pública.
- No compromete de manera intencional la privacidad o seguridad del personal del HHS (por ejemplo, empleados civiles o miembros del ejército) ni de ningún tercero.
- No compromete de manera intencional la propiedad intelectual o los intereses comerciales o financieros de cualquier miembro del personal o entidades del HHS, ni de ningún tercero.
Una vez que haya establecido que existe una vulnerabilidad o encuentra datos sensibles (incluida información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquier tercero), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.
Alcance
Esta política se aplica a los siguientes sistemas y servicios:
Todos los sistemas y servicios directamente asociados a los dominios enumerados anteriormente están en el alcance. Asimismo, los subdominios de cada listado, a menos que se excluyan explícitamente, siempre están dentro del alcance. Además, cualquier sitio web publicado con un enlace a esta política se considerará dentro del alcance. Los sitios web que no están enumerados específicamente aquí o publicados con un enlace a esta política se consideran fuera del alcance de la misma. Las vulnerabilidades encontradas en sistemas no federales de nuestros proveedores quedan fuera del alcance de esta política y se deben informar directamente al proveedor de acuerdo a su política de divulgación (si la hay). Si no está seguro si un sistema o destino está dentro o no del alcance, comuníquese con support@responsibledisclosure.com antes de comenzar con su investigación o con el contacto de seguridad del nombre de dominio del sistema que aparece en .gov WHOIS.
Si bien desarrollamos y mantenemos otros sistemas o servicios a los que se puede acceder por Internet, pedimos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema fuera del alcance que cree que amerita pruebas, contáctenos para debatirlo primero. Ampliaremos el alcance de esta política con el tiempo.
Organization | Domains |
---|---|
Administración para Niños y Familias (ACF) | acf.gov childcare.gov childwelfare.gov fatherhood.gov acf.hhs.gov |
Administración de la vida comunitaria (ACL) | acl.gov agingstats.gov aoa.gov eldercare.gov longtermcare.gov whaging.gov whitehouseconferenceonaging.gov namrs.net |
La Agencia para la Investigación y la Calidad del Cuidado de la Salud (AHRQ) | mepstech.com ahcpr.gov ahrq.gov guideline.gov guidelines.gov certs.hhs.gov cahpsusernetwork.net ahrqadmin.org ahrqdev.org chainonline.org mepsdocs.org pccds-ln.org pcorcds-ln.org psoppc.org sitenv.org uspreventiveservicestaskforce.org |
Centros para el Control y la Prevención de Enfermedades (CDC) | cdc.gov cdcpartners.gov coronavirus.gov flu.gov healthindicators.gov millionhearts.hhs.gov ncvhs.hhs.gov vaers.hhs.gov pandemicflu.gov selectagents.gov simplereport.gov e-cigarettes.surgeongeneral.gov vaccine.gov vaccines.gov vacine.gov vacines.gov vacuna.gov vacunas.gov thecommunityguide.org |
Centros de servicios de Medicare y Medicaid (CMS) | csscoperations.com cms.gov cuidadodesalud.gov healthcare.gov cms.hhs.gov insurekidsnow.gov medicaid.gov medicare.gov mymedicare.gov qualitynet.cms.gov |
Administración de Alimentos y Medicamentos (FDA) | betobaccofree.gov fda.gov blogs.fda.gov ceportal.fda.gov govdashboard.fda.gov labels.fda.gov betobaccofree.hhs.gov nextlegends.gov therealcost.gov tobacco.gov |
Recursos de salud y Administración de servicios (HRSA) | cares.linkhealth.com covid19.linkhealth.com donaciondeorganos.gov telehealth.hhs.gov hrsa.gov organdonor.gov hv-impact.edc.org |
Servicio de Salud de los Indigenas (IHS) | ihs.gov directihs.net |
Institutos Nacionales de Salud (NIH) | alzheimers.gov brain.gov brainhealth.gov cancer.gov cerebrosano.gov clinicaltrial.gov clinicaltrials.gov collegedrinkingprevention.gov diabetescommittee.gov docline.gov drugabuse.gov edison.gov everytrycounts.gov genome.gov hearttruth.gov agreementbuilder.hhs.gov asrp.hhs.gov collaborate-acl.hhs.gov das.hhs.gov ocrportal.hhs.gov oga.hhs.gov omhaportal.hhs.gov safetyreporting.hhs.gov iedison.gov locatorplus.gov medlineplus.gov mesh.gov ncifcrf.gov nih.gov nlm.gov nnlm.gov pubmed.gov smokefree.gov thebraininitiative.gov thisfreelife.gov tox21.gov ncats.io brainattackcoalition.org charmm.org citdbase.org coronaviruspreventionnetwork.org ctsu.org gem-measures.org genomereference.org nci-fyi.org ncihub.org nhlbiwgs.org proteincapture.org scienceforum.sc |
Oficina de la Inspectora General (OIG) | hhsoig.gov oig.hhs.gov |
Oficina del Secretario (OS) | worklife4you.com aids.gov bioethics.gov covid.gov covidtest.gov covidtests.gov dhhs.gov fitness.gov foodsafety.gov girlshealth.gov grants.gov grantsolutions.gov health.gov healthdata.gov healthfinder.gov healthit.gov healthypeople.gov hhs.gov hiv.gov medicalcountermeasures.gov opioids.gov phe.gov psc.gov stopbullying.gov surgeongeneral.gov usphs.gov womenshealth.gov youth.gov oahpmdata.net |
Administración de Servicios de Salud Mental y Abuso de Sustancias (SAMHSA) | findtreatment.gov mentalhealth.gov recoverymonth.gov samhsa.gov stopalcoholabuse.gov |
Reglas de participación
Los investigadores de seguridad no deben:
- Probar cualquier sistema que no esté establecido en la sección “Alcance” anterior,
- divulgar información de vulnerabilidad excepto como se establece en las secciones “Informar una vulnerabilidad” y “Divulgación” anteriores,
- participar en pruebas físicas de instalaciones o recursos,
- participar en ingeniería social,
- enviar correos electrónicos no solicitados a usuarios del HHS, incluidos mensajes de "phishing",
- ejecutar o intentar ejecutar ataques de "denegación de servicio" o de "agotamiento de recursos",
- introducir software malicioso,
- hacer pruebas de una manera que podría degradar el funcionamiento de los sistemas del HHS; o dañar, interrumpir o deshabilitar intencionadamente los sistemas del HHS,
- hacer pruebas en aplicaciones, sitios web o servicios de terceros que se integran o están vinculados a los sistemas del HHS,
- borrar, alterar, compartir, retener o destruir datos del HHS, o eliminar el acceso a datos del HHS, o
- utilizar un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos, establecer una presencia persistente en sistemas del HHS o "pivotar" a otros sistemas del HHS.
Los investigadores de seguridad pueden:
- Ver o almacenar datos no públicos del HHS solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad.
Los investigadores de seguridad deben:
- dejar de hacer pruebas y notificarnos de inmediato al descubrir una vulnerabilidad,
- dejar de hacer pruebas y notificarnos de inmediato al descubrir una exposición de datos no públicos, y
- purgar todos los datos no públicos del HHS al informar una vulnerabilidad.
Informar una vulnerabilidad
Aceptamos informes de vulnerabilidad en https://hhs.responsibledisclosure.com. Los informes se pueden enviar de forma anónima. No admitimos correos electrónicos con encriptación PGP en este momento.
La información enviada en virtud de esta política se utilizará solo para fines de protección, para mitigar o solucionar vulnerabilidades. Si en sus hallazgos se incluyen vulnerabilidades descubiertas recientemente que afectan a todos los usuarios de un producto o servicio y no solo al HHS, podemos compartir su informe con la Agencia de Ciberseguridad e Infraestructura, donde las tratarán bajo su proceso coordinado de divulgación de vulnerabilidad. No compartiremos su nombre o información de contacto sin su consentimiento expreso.
Al hacer clic en "Enviar informe", indica que ha leído, entendido y acepta las guías descritas en esta política para llevar a cabo la investigación de seguridad y divulgar las vulnerabilidades o los indicadores de vulnerabilidades relacionados con los sistemas de información del HHS, y da su consentimiento para que el contenido de la comunicación y las comunicaciones de seguimiento se guarden en un sistema de información del Gobierno de los Estados Unidos.
Para ayudarnos a clasificar y priorizar los envíos, sugerimos que sus informes:
- Cumplan todos los términos y condiciones legales que se detallan en https://www.hhs.gov/vulnerability-disclosure-policy y los Términos de servicio de divulgación responsable del HHS.
- Describan la vulnerabilidad, dónde se descubrió y el posible impacto de su explotación.
- Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles los scripts de prueba de concepto o las capturas de pantalla).
Divulgación
HHS se compromete a solucionar las vulnerabilidades en tiempo y forma. Sin embargo, reconocemos que la divulgación pública de una vulnerabilidad en ausencia de una acción correctiva fácilmente disponible puede aumentar en lugar de disminuir el riesgo. En consecuencia, le pedimos que se abstenga de compartir información sobre las vulnerabilidades descubiertas durante 90 días calendario después de haber recibido nuestro acuse de recibo de su informe. Si cree que habría que informar a otros sobre la vulnerabilidad antes de que apliquemos las medidas correctivas, le pedimos que lo coordine previamente con nosotros.
Podemos compartir informes de vulnerabilidad con la Agencia de Ciberseguridad e Infraestructura (CISA), así como con cualquier proveedor que se vea afectado. No compartiremos nombres o datos de seguridad de los investigadores de seguridad a menos que tengamos su permiso expreso.
Reconocimientos
Para los reconocimientos del programa de la Política de divulgación de vulnerabilidad del HHS, visite https://www.hhs.gov/vulnerability-disclosure-policy/acknowledgments
Preguntas
Se pueden enviar preguntas relacionadas a esta política a HHS.Cybersecurity@hhs.gov. También lo invitamos a que nos contacte si tiene sugerencias para mejorar esta política.
Contenido creado por Office of the Chief Information Officer (OCIO)
Última revisión del contenido: 10 de diciembre de 2021