Derechos, términos y condiciones de uso
Política de divulgación de vulnerabilidades
[ Introducción ] [ Autorización ] [ Directrices ] [ Alcance ] [ Reglas de compromiso ] [ Reportar una vulnerabilidad ] [ Divulgación ] [ Agradecimientos ] [ Preguntas ]
Introducción
El Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) se compromete a garantizar la seguridad del público estadounidense al proteger su información de la divulgación injustificada. Esta política tiene como objetivo brindar a los investigadores de seguridad pautas claras para realizar actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias sobre cómo enviarnos las vulnerabilidades descubiertas.
Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política, cómo enviarnos informes de vulnerabilidad y cuánto tiempo les pedimos a los investigadores de seguridad que esperen antes de divulgar públicamente las vulnerabilidades.
Queremos que los investigadores de seguridad se sientan cómodos informando las vulnerabilidades que han descubierto, como se establece en esta política, para que podamos corregirlas y mantener seguros a nuestros usuarios. Hemos desarrollado esta política para reflejar nuestros valores y mantener nuestro sentido de responsabilidad hacia los investigadores de seguridad que comparten su experiencia con nosotros de buena fe.
Autorización
Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, trabajaremos con usted para comprender y resolver el problema rápidamente, y HHS no recomendará ni emprenderá acciones legales relacionadas con tu investigacion
Pautas
Según esta política, "investigación" significa actividades en las que usted:
Notifíquenos lo antes posible después de descubrir un problema de seguridad real o potencial.
Haga todo lo posible para evitar las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos.
Solo use exploits en la medida necesaria para confirmar la presencia de una vulnerabilidad. No use un exploit para comprometer o filtrar datos, establecer acceso a la línea de comando y/o persistencia, o usar el exploit para "pivotar" a otros sistemas.
Bríndenos una cantidad de tiempo razonable para resolver el problema antes de divulgarlo públicamente.
Usted no compromete intencionalmente la privacidad o la seguridad del personal del HHS (por ejemplo, empleados civiles o militares) ni de terceros.
Usted no compromete intencionalmente la propiedad intelectual u otros intereses comerciales o financieros de ningún personal o entidad del HHS, ni de ningún tercero.
Una vez que haya establecido que existe una vulnerabilidad o encuentre datos confidenciales (incluida información de identificación personal, información financiera o información patentada o secretos comerciales de cualquier parte), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a cualquier otra persona
Alcance
Todos los sistemas y servicios asociados con los dominios enumerados a continuación están dentro del alcance. Asimismo, los subdominios de cada listado, a menos que se excluyan explícitamente, siempre están dentro del alcance. Además, cualquier sitio web publicado con un enlace a esta política se considerará dentro del alcance. Las vulnerabilidades encontradas en sistemas no federales de nuestros proveedores quedan fuera del alcance de esta política y deben informarse directamente al proveedor de acuerdo con su política de divulgación (si corresponde). Si no está seguro de si un sistema o punto final está dentro del alcance o no, comuníquese con support@responsibledisclosure.com antes de comenzar su investigación o con el contacto de seguridad para el nombre de dominio del sistema que figura en .gov WHOIS .
Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles por Internet, solicitamos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema que no está dentro del alcance y cree que merece ser probado, comuníquese con nosotros para discutirlo primero. Aumentaremos el alcance de esta política con el tiempo.
