Política de divulgación de vulnerabilidad

[Introducción] [Autorización] [Guías ] [Alcance] [Reglas de participación] [Informar una vulnerabilidad] [Divulgación] [Reconocimientos] [ Preguntas]

Introducción

El Departamento de Salud y Servicios Humanos (HHS) se compromete a garantizar la seguridad del público estadounidense al proteger su información de divulgaciones injustificadas. Esta política pretende dar a los investigadores guías claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias en cuanto a cómo enviarnos las vulnerabilidades descubiertas.

Esta política describe qué sistemas y tipos de investigación están cubiertos bajo la misma, cómo enviarnos informes de vulnerabilidad y cuánto tiempo le pedimos a los investigadores de seguridad que esperen antes de divulgar vulnerabilidades de manera pública.

Queremos que los investigadores de seguridad se sientan cómodos al informar las vulnerabilidades que han descubierto, como lo establece esta política, para que podamos solucionarlas y mantener seguros a nuestros usuarios. Hemos desarrollado esta política para reflejar nuestros valores y sostener nuestro sentido de responsabilidad con los investigadores de seguridad que comparten su experiencia con nosotros de buena fe.

Autorización

Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación se autorice, trabajaremos con usted para entender y resolver el problema de manera rápida, y HHS no recomendará ni adoptará medidas legales en relación a su investigación.

Guías

En virtud de esta política, "investigación" significa las actividades en las que usted:

  • Nos notifica tan pronto como sea posible luego de descubrir un problema de seguridad potencial o real.
  • Hace todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
  • Utiliza exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utiliza un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o utilizar el exploit para "pivotar" a otros sistemas.
  • Nos concede una cantidad de tiempo razonable para resolver el problema antes de divulgarlo de manera pública.
  • No compromete de manera intencional la privacidad o seguridad del personal del HHS (por ejemplo, empleados civiles o miembros del ejército) ni de ningún tercero.
  • No compromete de manera intencional la propiedad intelectual o los intereses comerciales o financieros de cualquier miembro del personal o entidades del HHS, ni de ningún tercero.

Una vez que haya establecido que existe una vulnerabilidad o encuentra datos sensibles (incluida información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquier tercero), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.

Alcance

Esta política se aplica a los siguientes sistemas y servicios:

Organization Domains
Administración para Niños y Familias (ACF) preventionservices.abtsites.com
cbexpress.acf.hhs.gov
cblcc.acf.hhs.gov
cbportal.acf.hhs.gov
www.cfsrportal.acf.hhs.gov
childcareta.acf.hhs.gov
csbgpm.acf.hhs.gov
cwoutcomes.acf.hhs.gov
earlyeducatorcentral.acf.hhs.gov
ecmrs.acf.hhs.gov
ecquality.acf.hhs.gov
fysbdms.acf.hhs.gov
homvee.acf.hhs.gov
liheappm.acf.hhs.gov
map.acf.hhs.gov
nccan.acf.hhs.gov
ndacan.acf.hhs.gov
nhttac.acf.hhs.gov
nytd.acf.hhs.gov
occms.acf.hhs.gov
ocsp.acf.hhs.gov
eclkc.ohs.acf.hhs.gov
hses.ohs.acf.hhs.gov
orrbms.acf.hhs.gov
shepherd.otip.acf.hhs.gov
pal.acf.hhs.gov
pathwaystowork.acf.hhs.gov
cptoolkitcatalog.peerta.acf.hhs.gov
rads.acf.hhs.gov
rhyclearinghouse.acf.hhs.gov
rhy-hmis.acf.hhs.gov
rpg-eds.acf.hhs.gov
teenpregnancy.acf.hhs.gov
wethinktwice.acf.hhs.gov
ncands.net
ssbgportal.net
Administración de la vida comunitaria (ACL) ncapps.acl.gov
agingstats.gov
whitehouseconferenceonaging.gov
La Agencia para la Investigación y la Calidad del Cuidado de la Salud (AHRQ) mepstech.com
ahcpr.gov
ahrq.gov
guideline.gov
guidelines.gov
certs.hhs.gov
cahpsusernetwork.net
ahrqadmin.org
ahrqdev.org
chainonline.org
covid-acts.org
pccds-ln.org
pcorcds-ln.org
psoppc.org
sitenv.org
uspreventiveservicestaskforce.org
Centros para el Control y la Prevención de Enfermedades (CDC) amp.cdc.gov
atsdr.cdc.gov
auth.cdc.gov
blogs.cdc.gov
chinese.cdc.gov
chronicdata.cdc.gov
citgo.cdc.gov
covid.cdc.gov
cra.cdc.gov
dpd.cdc.gov
dvppartnersportal.cdc.gov
dvppartnersportalstage.cdc.gov
easauth2.cdc.gov
emergency-origin.cdc.gov
ephtracking.cdc.gov
espanol.cdc.gov
findtbresources.cdc.gov
foia.cdc.gov
francais.cdc.gov
gettested.cdc.gov
gis.cdc.gov
hivrisk.cdc.gov
jobs.cdc.gov
jobs-origin.cdc.gov
korean.cdc.gov
microbenet.cdc.gov
mvps.cdc.gov
nationaldppcsc.cdc.gov
npin.cdc.gov
onemap.cdc.gov
open.cdc.gov
origin.cdc.gov
phil.cdc.gov
phinvads.cdc.gov
podassistonprem.cdc.gov
prototype.cdc.gov
reportstream.cdc.gov
sams.cdc.gov
search.cdc.gov
stacks.cdc.gov
svi.cdc.gov
t.cdc.gov
tceols.cdc.gov
tools.cdc.gov
vetoviolence.cdc.gov
vietnamese.cdc.gov
wonder.cdc.gov
www.cdc.gov
millionhearts.hhs.gov
efsap.selectagents.gov
e-cigarettes.surgeongeneral.gov
flu.gov
pandemicflu.gov
simplereport.gov
vaccine.gov
vaccines.gov
vacine.gov
vacines.gov
vacuna.gov
vacunas.gov
Centros de servicios de Medicare y Medicaid (CMS) cms.gov
cuidadodesalud.gov
insurekidsnow.gov
medicaid.gov
medicare.gov
mymedicare.gov
Salud y servicios humanos (HHS) foodsafety.gov
grantsolutions.gov
healthdata.gov
digitalmedia.hhs.gov
search.hhs.gov
webstandards.hhs.gov
www.hhs.gov
opioids.gov
stopbullying.gov
surgeongeneral.gov
Recursos de salud y Administración de servicios (HRSA) donaciondeorganos.gov
telehealth.hhs.gov
hrsa.gov
organdonor.gov
Institutos Nacionales de Salud (NIH) stage.public.csr.nih.gov
cms.csr.nih.gov
drm.csr.nih.gov
internet.csr.nih.gov
now.csr.nih.gov
public.csr.nih.gov
www.csr.nih.gov
bsc.nidcd.nih.gov
bscdev.nidcd.nih.gov
council.nidcd.nih.gov
www.nidcd.nih.gov
www.collegedrinkingprevention.gov
www.edison.gov
genome.gov
am.grantsolutions.gov
www.iedison.gov
abcd.nih.gov
addictionresearch.nih.gov
bioethics.nih.gov
bisti.nih.gov
bloodbank.nih.gov
blsa.nih.gov
bones.nih.gov
brainblog.nih.gov
braininitiative.nih.gov
brainupdate.nih.gov
btris.nih.gov
card.nih.gov
caring4kidswithcovid.nih.gov
cc.nih.gov
clinicalcenter.nih.gov
clinicalresearchtrials.nih.gov
cnrm.nih.gov
coepes.nih.gov
copd.nih.gov
covid19community.nih.gov
covid19pathology.nih.gov
developmentalbiology.nih.gov
ecb.nih.gov
elementsofmorphology.nih.gov
era.nih.gov
federalreporter.nih.gov
fic.nih.gov
guid.nih.gov
icarerp.nih.gov
inxight.nih.gov
iprcc.nih.gov
irb.nih.gov
irp-positions.nih.gov
mdcc.nih.gov
megcore.nih.gov
megworkshop.nih.gov
mindyourrisks.nih.gov
mregs.nih.gov
mriatlases.nih.gov
multiplex.nih.gov
ncats.nih.gov
ncatsconnect.nih.gov
nccam.nih.gov
nccih.nih.gov
ncgc.nih.gov
nda.nih.gov
ndar.nih.gov
ndarportal.nih.gov
ndep.nih.gov
nei.nih.gov
neurobiobank.nih.gov
neuroscience.nih.gov
neuroscienceblueprint.nih.gov
nhgri.nih.gov
nhlbi.nih.gov
nia.nih.gov
niaaa.nih.gov
niams.nih.gov
nibib.nih.gov
nida.nih.gov
nidap.nih.gov
nidcr.nih.gov
niddk.nih.gov
nigms.nih.gov
nimh.nih.gov
nimhd.nih.gov
ninds.nih.gov
ninr.nih.gov
nkdep.nih.gov
nursing.nih.gov
oai.nih.gov
obesityresearch.nih.gov
ocio.nih.gov
oir.nih.gov
painconsortium.nih.gov
paindatabase.nih.gov
pathstudyinfo.nih.gov
pediatricmri.nih.gov
pharos.nih.gov
probis.nih.gov
proteome.nih.gov
report-beta.nih.gov
reporter.nih.gov
researchfestival.nih.gov
rheumatology.nih.gov
rnai.nih.gov
stemcelldb.nih.gov
stroke.nih.gov
t1diabetes.nih.gov
tenuretrack.nih.gov
tripod.nih.gov
trnd.nih.gov
unite.nih.gov
usphssurvey.nih.gov
wellstonemdcenters.nih.gov
alzheimers.gov
diabetescommittee.gov
drugabuse.gov
hearttruth.gov
tox21.gov
brainattackcoalition.org
charmm.org
charmming.org
charmmtutorial.org
nhlbiwgs.org
Oficina del Subsecretario de Salud (OASH) aids.gov
girlshealth.gov
minorityhealth.hhs.gov
opa.hhs.gov
ori.hhs.gov
thinkculturalhealth.hhs.gov
hiv.gov
womenshealth.gov
Oficina de Prevención de Enfermedades y Promoción de la Salud (ODPHP) fitness.gov
health.gov
healthfinder.gov
healthypeople.gov

Esta política se aplica a los siguientes sistemas y servicios:

Los sistemas y servicios directamente asociados a los dominios y subdominios enumerados anteriormente están en el alcance. Además, cualquier sitio web publicado con un enlace a esta política se considerará dentro del alcance. Los sitios web que no están enumerados específicamente aquí o publicados con un enlace a esta política se consideran fuera del alcance de la misma. Las vulnerabilidades encontradas en sistemas no federales de nuestros proveedores quedan fuera del alcance de esta política y se deben informar directamente al proveedor de acuerdo a su política de divulgación (si la hay). Si no está seguro si un sistema o destino está dentro o no del alcance, comuníquese con support@responsibledisclosure.com antes de comenzar con su investigación o con el contacto de seguridad del nombre de dominio del sistema que aparece en .gov WHOIS.

Si bien desarrollamos y mantenemos otros sistemas o servicios a los que se puede acceder por Internet, pedimos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema fuera del alcance que cree que amerita pruebas, contáctenos para debatirlo primero. Ampliaremos el alcance de esta política con el tiempo.

Reglas de participación

Los investigadores de seguridad no deben:

  • Probar cualquier sistema que no esté establecido en la sección “Alcance” anterior,
  • divulgar información de vulnerabilidad excepto como se establece en las secciones “Informar una vulnerabilidad” y “Divulgación” anteriores,
  • participar en pruebas físicas de instalaciones o recursos,
  • participar en ingeniería social,
  • enviar correos electrónicos no solicitados a usuarios del HHS, incluidos mensajes de "phishing",
  • ejecutar o intentar ejecutar ataques de "denegación de servicio" o de "agotamiento de recursos",
  • introducir software malicioso,
  • hacer pruebas de una manera que podría degradar el funcionamiento de los sistemas del HHS; o dañar, interrumpir o deshabilitar intencionadamente los sistemas del HHS,
  • hacer pruebas en aplicaciones, sitios web o servicios de terceros que se integran o están vinculados a los sistemas del HHS,
  • borrar, alterar, compartir, retener o destruir datos del HHS, o eliminar el acceso a datos del HHS, o
  • utilizar un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos, establecer una presencia persistente en sistemas del HHS o "pivotar" a otros sistemas del HHS.

Los investigadores de seguridad pueden:

  • Ver o almacenar datos no públicos del HHS solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad.

Los investigadores de seguridad deben:

  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una vulnerabilidad,
  • dejar de hacer pruebas y notificarnos de inmediato al descubrir una exposición de datos no públicos, y
  • purgar todos los datos no públicos del HHS al informar una vulnerabilidad.

Informar una vulnerabilidad

Aceptamos informes de vulnerabilidad en https://hhs.responsibledisclosure.com. Los informes se pueden enviar de forma anónima.  No admitimos correos electrónicos con encriptación PGP en este momento.
La información enviada en virtud de esta política se utilizará solo para fines de protección, para mitigar o solucionar vulnerabilidades. Si en sus hallazgos se incluyen vulnerabilidades descubiertas recientemente que afectan a todos los usuarios de un producto o servicio y no solo al HHS, podemos compartir su informe con la Agencia de Ciberseguridad e Infraestructura, donde las tratarán bajo su proceso coordinado de divulgación de vulnerabilidad. No compartiremos su nombre o información de contacto sin su consentimiento expreso.
Al hacer clic en "Enviar informe", indica que ha leído, entendido y acepta las guías descritas en esta política para llevar a cabo la investigación de seguridad y divulgar las vulnerabilidades o los indicadores de vulnerabilidades relacionados con los sistemas de información del HHS, y da su consentimiento para que el contenido de la comunicación y las comunicaciones de seguimiento se guarden en un sistema de información del Gobierno de los Estados Unidos.
Para ayudarnos a clasificar y priorizar los envíos, sugerimos que sus informes:

  • Cumplan todos los términos y condiciones legales que se detallan en https://www.hhs.gov/es/vulnerability-disclosure-policy y los Términos de servicio de divulgación responsable del HHS.
  • Describan la vulnerabilidad, dónde se descubrió y el posible impacto de su explotación.
  • Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (son útiles los scripts de prueba de concepto o las capturas de pantalla).

Divulgación

HHS se compromete a solucionar las vulnerabilidades en tiempo y forma. Sin embargo, reconocemos que la divulgación pública de una vulnerabilidad en ausencia de una acción correctiva fácilmente disponible puede aumentar en lugar de disminuir el riesgo. En consecuencia, le pedimos que se abstenga de compartir información sobre las vulnerabilidades descubiertas durante 90 días calendario después de haber recibido nuestro acuse de recibo de su informe. Si cree que habría que informar a otros sobre la vulnerabilidad antes de que apliquemos las medidas correctivas, le pedimos que lo coordine previamente con nosotros.
Podemos compartir informes de vulnerabilidad con la Agencia de Ciberseguridad e Infraestructura (CISA), así como con cualquier proveedor que se vea afectado. No compartiremos nombres o datos de seguridad de los investigadores de seguridad a menos que tengamos su permiso expreso.

Reconocimientos

Para los reconocimientos del programa de la Política de divulgación de vulnerabilidad del HHS, visite https://www.hhs.gov/es/vulnerability-disclosure-policy/acknowledgments

Preguntas

Se pueden enviar preguntas relacionadas a esta política a HHS.Cybersecurity@hhs.gov. También lo invitamos a que nos contacte si tiene sugerencias para mejorar esta política.

Contenido creado por Office of the Chief Information Officer (OCIO)
Última revisión del contenido: 10 de diciembre de 2021

Content created by Office of the Chief Information Officer (OCIO)
Content last reviewed