Política de divulgación de vulnerabilidad

[Introducción] [Autorización] [Guías ] [Alcance] [Reglas de participación] [Informar una vulnerabilidad] [Divulgación] [Reconocimientos] [ Preguntas]

Introducción

El Departamento de Salud y Servicios Humanos (HHS) se compromete a garantizar la seguridad del público estadounidense al proteger su información de divulgaciones injustificadas. Esta política pretende dar a los investigadores guías claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias en cuanto a cómo enviarnos las vulnerabilidades descubiertas.

Esta política describe qué sistemas y tipos de investigación están cubiertos bajo la misma, cómo enviarnos informes de vulnerabilidad y cuánto tiempo le pedimos a los investigadores de seguridad que esperen antes de divulgar vulnerabilidades de manera pública.

Queremos que los investigadores de seguridad se sientan cómodos al informar las vulnerabilidades que han descubierto, como lo establece esta política, para que podamos solucionarlas y mantener seguros a nuestros usuarios. Hemos desarrollado esta política para reflejar nuestros valores y sostener nuestro sentido de responsabilidad con los investigadores de seguridad que comparten su experiencia con nosotros de buena fe.

Autorización

Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación se autorice, trabajaremos con usted para entender y resolver el problema de manera rápida, y HHS no recomendará ni adoptará medidas legales en relación a su investigación.

Guías

En virtud de esta política, "investigación" significa las actividades en las que usted:

  • Nos notifica tan pronto como sea posible luego de descubrir un problema de seguridad potencial o real.
  • Hace todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
  • Utiliza exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utiliza un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o utilizar el exploit para "pivotar" a otros sistemas.
  • Nos concede una cantidad de tiempo razonable para resolver el problema antes de divulgarlo de manera pública.
  • No compromete de manera intencional la privacidad o seguridad del personal del HHS (por ejemplo, empleados civiles o miembros del ejército) ni de ningún tercero.
  • No compromete de manera intencional la propiedad intelectual o los intereses comerciales o financieros de cualquier miembro del personal o entidades del HHS, ni de ningún tercero.

Una vez que haya establecido que existe una vulnerabilidad o encuentra datos sensibles (incluida información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquier tercero), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.

Alcance

Los sistemas y servicios asociados a los dominios y subdominios enumerados posteriormente están en el alcance. Además, cualquier sitio web publicado con un enlace a esta política se considerará dentro del alcance. Los sitios web que no están enumerados específicamente aquí o publicados con un enlace a esta política se consideran fuera del alcance de la misma. Las vulnerabilidades encontradas en sistemas no federales de nuestros proveedores quedan fuera del alcance de esta política y se deben informar directamente al proveedor de acuerdo a su política de divulgación (si la hay). Si no está seguro si un sistema o destino está dentro o no del alcance, comuníquese con [email protected] antes de comenzar con su investigación o con el contacto de seguridad del nombre de dominio del sistema que aparece en .gov WHOIS.

Si bien desarrollamos y mantenemos otros sistemas o servicios a los que se puede acceder por Internet, pedimos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema fuera del alcance que cree que amerita pruebas, contáctenos para debatirlo primero. Ampliaremos el alcance de esta política con el tiempo.

Esta política se aplica a los siguientes sistemas y servicios:

Organization Domains
Administración para Niños y Familias (ACF)

childcare.gov
childwelfare.gov
fatherhood.gov
cbexpress.acf.hhs.gov
cblcc.acf.hhs.gov
cbportal.acf.hhs.gov
cfsrportal.acf.hhs.gov
childcareta.acf.hhs.gov
csbgpm.acf.hhs.gov
cwoutcomes.acf.hhs.gov
earlyeducatorcentral.acf.hhs.gov
ecmrs.acf.hhs.gov
ecquality.acf.hhs.gov
fysbdms.acf.hhs.gov
homvee.acf.hhs.gov
liheappm.acf.hhs.gov
map.acf.hhs.gov
nccan.acf.hhs.gov
ndacan.acf.hhs.gov
nhttac.acf.hhs.gov
nytd.acf.hhs.gov
occms.acf.hhs.gov
ocsp.acf.hhs.gov
eclkc.ohs.acf.hhs.gov
hses.ohs.acf.hhs.gov
orrbms.acf.hhs.gov
shepherd.otip.acf.hhs.gov
pal.acf.hhs.gov
pathwaystowork.acf.hhs.gov
peerta.acf.hhs.gov
preventionservices.acf.hhs.gov
rads.acf.hhs.gov
rhyclearinghouse.acf.hhs.gov
rhy-hmis.acf.hhs.gov
rpg-eds.acf.hhs.gov
ssbgportal.acf.hhs.gov
teenpregnancy.acf.hhs.gov
wethinktwice.acf.hhs.gov
ncands.net
cfsrportal.org

Administración de la vida comunitaria (ACL)

agid.acl.gov
apps.acl.gov
apstarc.acl.gov
data.acl.gov
eldercare.acl.gov
elderjustice.acl.gov
livingwell.acl.gov
nadrc.acl.gov
namrs.acl.gov
ncapps.acl.gov
ncea.acl.gov
ncler.acl.gov
nwd.acl.gov
oam.acl.gov
olderindians.acl.gov
stageagid.acl.gov
stageagingstats.acl.gov
stageeldercare.acl.gov
stagenadrc.acl.gov
stagenadrc2.acl.gov
tbi.acl.gov
weaad.acl.gov
agingstats.gov
eldercare.gov
whaging.gov
whitehouseconferenceonaging.gov

La Agencia para la Investigación y la Calidad del Cuidado de la Salud (AHRQ)

mepstech.com
ahcpr.gov
ahrq.gov
guideline.gov
guidelines.gov
certs.hhs.gov
cahpsusernetwork.net
ahrqadmin.org
ahrqdev.org
chainonline.org
mepsdocs.org
pccds-ln.org
pcorcds-ln.org
psoppc.org
sitenv.org
uspreventiveservicestaskforce.org

Centros para el Control y la Prevención de Enfermedades (CDC)

cdc.gov
cdcpartners.gov
coronavirus.gov
flu.gov
healthindicators.gov
millionhearts.hhs.gov
vaers.hhs.gov
pandemicflu.gov
selectagents.gov
simplereport.gov
e-cigarettes.surgeongeneral.gov
vaccine.gov
vaccines.gov
vacine.gov
vacines.gov
vacuna.gov
vacunas.gov
thecommunityguide.org

Centros de servicios de Medicare y Medicaid (CMS)

cms.gov
cuidadodesalud.gov
healthcare.gov
cms.hhs.gov
insurekidsnow.gov
medicaid.gov
medicalbillrights.gov
medicare.gov
mymedicare.gov
qualitynet.org
hcgov.us

Recursos de salud y Administración de servicios (HRSA)

donaciondeorganos.gov
telehealth.hhs.gov
hrsa.gov
organdonor.gov

Institutos Nacionales de Salud (NIH)

alzheimers.gov
brain.gov
brainhealth.gov
cancer.gov
cerebrosano.gov
clinicaltrial.gov
clinicaltrials.gov
collegedrinkingprevention.gov
diabetescommittee.gov
docline.gov
drugabuse.gov
edison.gov
everytrycounts.gov
genome.gov
hearttruth.gov
agreementbuilder.hhs.gov
asrp.hhs.gov
collaborate-acl.hhs.gov
das.hhs.gov
ocrportal.hhs.gov
oga.hhs.gov
omhaportal.hhs.gov
safetyreporting.hhs.gov
iedison.gov
medlineplus.gov
mesh.gov
ncifcrf.gov
nih.gov
nlm.gov
nnlm.gov
pubmed.gov
smokefree.gov
thebraininitiative.gov
thisfreelife.gov
tox21.gov
ncats.io
brainattackcoalition.org
charmm.org
charmming.org
charmmtutorial.org
citdbase.org
coronaviruspreventionnetwork.org
ctsu.org
gem-measures.org
genomereference.org
nci-fyi.org
ncihub.org
nhlbiwgs.org
proteincapture.org
scienceforum.sc

Oficina del Secretario (OS)

worklife4you.com
aids.gov
bioethics.gov
covid.gov
covidtest.gov
covidtests.gov
dhhs.gov
fitness.gov
foodsafety.gov
girlshealth.gov
grants.gov
grantsolutions.gov
health.gov
healthdata.gov
healthfinder.gov
healthit.gov
healthypeople.gov
ams.hhs.gov
digitalmedia.hhs.gov
iacc.hhs.gov
learning.hhs.gov
minorityhealth.hhs.gov
omh.hhs.gov
aasis.omha.hhs.gov
opa.hhs.gov
opa-fpclinicdb.hhs.gov
ori.hhs.gov
search.hhs.gov
thinkculturalhealth.hhs.gov
webstandards.hhs.gov
www.hhs.gov
xms.hhs.gov
hiv.gov
opioids.gov
psc.gov
stopbullying.gov
surgeongeneral.gov
usphs.gov
womenshealth.gov
youth.gov
oahpmdata.net

Administración de Servicios de Salud Mental y Abuso de Sustancias (SAMHSA)

mentalhealth.gov
recoverymonth.gov
blog.samhsa.gov
buprenorphine.samhsa.gov
disasterdistress.samhsa.gov
dpt.samhsa.gov
externallinks.samhsa.gov
gainscenter.samhsa.gov
knowledge.samhsa.gov
newsletter.samhsa.gov
spars.samhsa.gov
store.samhsa.gov
underagedrinking.samhsa.gov
www.samhsa.gov

Reglas de participación

Los investigadores de seguridad no deben:

  • Probar cualquier sistema que no esté establecido en la sección “Alcance” anterior,
  • divulgar información de vulnerabilidad excepto como se establece en las secciones “Informar una vulnerabilidad” y “Divulgación” anteriores,
  • participar en pruebas físicas de instalaciones o recursos,
  • participar en ingeniería social,
  • enviar correos electrónicos no solicitados a usuarios del HHS, incluidos mensajes de "phishing",
  • ejecutar o intentar ejecutar ataques de "denegación de servicio" o de "agotamiento de recursos",
  • introducir software malicioso,
  • hacer pruebas de una manera que podría degradar el funcionamiento de los sistemas del HHS; o dañar, interrumpir o deshabilitar intencionadamente los sistemas del HHS,
  • hacer pruebas en aplicaciones, sitios web o servicios de terceros que se integran o están vinculados a los sistemas del HHS,
  • borrar, alterar, compartir, retener o destruir datos del HHS, o eliminar el acceso a datos del HHS, o
  • utilizar un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos, establecer una presencia persistente en sistemas del HHS o "pivotar" a otros sistemas del HHS.

Los investigadores de seguridad pueden:

  • Ver o almacenar datos no públicos del HHS solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad.

Los investigadores de seguridad deben:

  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una vulnerabilidad,
  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una exposición de datos no públicos, y
  • purgar todos los datos no públicos del HHS al informar una vulnerabilidad.

Informar una vulnerabilidad

Aceptamos informes de vulnerabilidad en https://hhs.responsibledisclosure.com. Los informes se pueden enviar de forma anónima.  No admitimos correos electrónicos con encriptación PGP en este momento.

La información enviada en virtud de esta política se utilizará solo para fines de protección, para mitigar o solucionar vulnerabilidades. Si en sus hallazgos se incluyen vulnerabilidades descubiertas recientemente que afectan a todos los usuarios de un producto o servicio y no solo al HHS, podemos compartir su informe con la Agencia de Ciberseguridad e Infraestructura, donde las tratarán bajo su proceso coordinado de divulgación de vulnerabilidad. No compartiremos su nombre o información de contacto sin su consentimiento expreso.

Al hacer clic en "Enviar informe", indica que ha leído, entendido y acepta las guías descritas en esta política para llevar a cabo la investigación de seguridad y divulgar las vulnerabilidades o los indicadores de vulnerabilidades relacionados con los sistemas de información del HHS, y da su consentimiento para que el contenido de la comunicación y las comunicaciones de seguimiento se guarden en un sistema de información del Gobierno de los Estados Unidos.

Para ayudarnos a clasificar y priorizar los envíos, sugerimos que sus informes:

  • Cumplan todos los términos y condiciones legales que se detallan en https://www.hhs.gov/vulnerability-disclosure-policy y los Términos de servicio de divulgación responsable del HHS.
  • Describan la vulnerabilidad, dónde se descubrió y el posible impacto de su explotación.
  • Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles los scripts de prueba de concepto o las capturas de pantalla).

Divulgación

HHS se compromete a solucionar las vulnerabilidades en tiempo y forma. Sin embargo, reconocemos que la divulgación pública de una vulnerabilidad en ausencia de una acción correctiva fácilmente disponible puede aumentar en lugar de disminuir el riesgo. En consecuencia, le pedimos que se abstenga de compartir información sobre las vulnerabilidades descubiertas durante 90 días calendario después de haber recibido nuestro acuse de recibo de su informe. Si cree que habría que informar a otros sobre la vulnerabilidad antes de que apliquemos las medidas correctivas, le pedimos que lo coordine previamente con nosotros.

Podemos compartir informes de vulnerabilidad con la Agencia de Ciberseguridad e Infraestructura (CISA), así como con cualquier proveedor que se vea afectado. No compartiremos nombres o datos de seguridad de los investigadores de seguridad a menos que tengamos su permiso expreso.

Reconocimientos

Para los reconocimientos del programa de la Política de divulgación de vulnerabilidad del HHS, visite https://www.hhs.gov/vulnerability-disclosure-policy/acknowledgments

Preguntas

Se pueden enviar preguntas relacionadas a esta política a [email protected]. También lo invitamos a que nos contacte si tiene sugerencias para mejorar esta política.

Contenido creado por Office of the Chief Information Officer (OCIO)
Última revisión del contenido: 10 de diciembre de 2021

Content created by Office of the Chief Information Officer (OCIO)
Content last reviewed