Política de informes de vulnerabilidad
Introducción
UnitedHealth Group se toma en serio la protección de los datos de nuestros clientes y miembros. Agradecemos el trabajo de investigación sobre vulnerabilidades de seguridad que llevan a cabo los investigadores de seguridad con ética y buenas intenciones. Tenemos el compromiso colaborar con la comunidad de seguridad de la información para investigar y resolver problemas de seguridad dentro de nuestros sitios web, servicios en línea y aplicaciones móviles que se nos informan de acuerdo con esta Política de informes de vulnerabilidad. Si usted tiene información relacionada con posibles vulnerabilidades de seguridad de los productos o servicios de UnitedHealth Group, UnitedHealthcare u Optum, queremos escucharlo.
Recompensas por encontrar errores
UnitedHealth Group no ofrece un programa de recompensas por encontrar errores ni otras recompensas por divulgaciones de seguridad. Sin embargo, agradecemos los esfuerzos de los investigadores de seguridad que se toman el tiempo de investigar e informarnos sobre las vulnerabilidades de seguridad de acuerdo con esta política.
Alcance
Este programa no es un medio para presentar quejas sobre los servicios o productos de UnitedHealth Group, UnitedHealthcare, Optum o sus subsidiarias (en adelante, “UnitedHealth Group”), ni para consultas sobre la disponibilidad de los sitios web o servicios en línea de la compañía.
Los siguientes tipos de vulnerabilidades se consideran fuera del alcance para los fines de este programa:
- vulnerabilidades volumétricas (por ejemplo, denegación de servicio o DoS distribuido);
- informes de vulnerabilidades no explotables y violaciones de las “mejores prácticas” (p. ej., encabezados de seguridad faltantes);
- debilidades de configuración de Transport Layer Security (TLS) (p. ej., compatibilidad con conjuntos de cifrado “débiles”);
- toma de huellas dactilares/divulgación de anuncios en servicios comunes/públicos;
- secuencias de comandos entre sitios (XSS);
- divulgación de IP interna;
- falsificación de solicitudes entre sitios (CSRF);
- métodos HTTP no explotables (p. ej., OPTIONS o HEAD);
- mensajes de error con datos no confidenciales; y
- falta de indicadores seguros/solo HTTP en cookies que no son de sesión.
UnitedHealth Group puede actualizar esta política en cualquier momento, incluso realizando cambios en la lista de vulnerabilidades fuera del alcance.
Informar una vulnerabilidad
Si ha descubierto un problema que cree que es una vulnerabilidad que se encuentra dentro de este alcance, envíe un correo electrónico a securityreporting@optum.com. Incluya los datos a continuación, si corresponde:
- una descripción detallada de la vulnerabilidad;
- las URL completas asociadas con la vulnerabilidad;
- una POC (prueba de concepto) o instrucciones (p. ej., capturas de pantalla, videos, etc.) sobre cómo reproducir la vulnerabilidad o los pasos tomados para explotar la vulnerabilidad;
- campos de entrada, filtros u otros objetos de entrada involucrados;
- su evaluación de riesgo o evaluación de exportabilidad;
- instrucciones sobre cómo comunicarnos con usted si tenemos preguntas de seguimiento.
Se recomienda ofrecer una solución, pero no es obligatorio para informar una vulnerabilidad. La falta de una explicación detallada de la vulnerabilidad puede provocar demoras en nuestra respuesta y posibles acciones posteriores sobre el hallazgo.
Pautas
Esta política prohíbe la realización de las siguientes actividades:
- hackear, usar pruebas de penetración u otros intentos de obtener acceso no autorizado al software o sistemas de UnitedHealth Group;
- escaneo o prueba activa de vulnerabilidades;
- divulgación o uso de cualquier información o datos privados o confidenciales de UnitedHealth Group, incluidos los datos de los clientes; o
- afectar negativamente el funcionamiento del software o los sistemas de UnitedHealth Group.
Los investigadores de seguridad no deben violar ninguna ley ni acceder, usar, alterar o comprometer de ninguna manera los datos de UnitedHealth Group.
Si tiene alguna pregunta sobre esta política o las pautas anteriores, comuníquese con nuestro equipo de seguridad para obtener orientación: securityreporting@optum.com.
Qué esperar
Al recibir el informe de vulnerabilidad, UnitedHealth Group o uno de sus representantes puede enviar una respuesta automática como acuse de recibo. UnitedHealth Group puede comunicarse con los informantes si se necesita información adicional para colaborar con una investigación de seguimiento. Para la seguridad de nuestros clientes, UnitedHealth Group no divulgará, analizará ni confirmará problemas de seguridad.
Notificación pública
Para proteger a nuestros clientes, UnitedHealth Group solicita que los investigadores de seguridad no publiquen ni compartan ninguna información sobre una vulnerabilidad potencial en ningún entorno público hasta que hayamos investigado, respondido y abordado la vulnerabilidad informada, e informado a los clientes y partes interesadas según sea necesario. El tiempo para abordar una vulnerabilidad válida informada variará según el impacto de la vulnerabilidad potencial y los sistemas afectados.
Definiciones de la política
Vulnerabilidad: Una debilidad en el diseño, implementación, operación o control interno de un proceso que podría exponer el sistema a amenazas adversas provenientes de eventos de amenaza.
Denegación de servicio (DoS): Un ataque a un servicio desde una única fuente que lo desborda con tantas solicitudes que lo abruman y se detiene por completo, o funciona a una velocidad significativamente reducida.
Denegación de servicio distribuido (DDoS): Un ataque a un servicio desde múltiples sistemas informáticos comprometidos que lo desbordan con tantas solicitudes que lo abruman y se detiene por completo, o funciona a una velocidad significativamente reducida, denegando así el servicio a usuarios o sistemas legítimos.
Seguridad de la capa de transporte (TLS): Un protocolo que proporciona privacidad en las comunicaciones a través de Internet. El protocolo permite que las aplicaciones cliente/servidor se comuniquen de una manera diseñada para evitar escuchas, alteraciones o falsificación de mensajes.
Secuencias de comandos entre sitios (XSS): Un ataque de ingeniería social para obtener el control de las cuentas web de una víctima cuando la víctima, sin saberlo, ejecuta código malicioso en su propio navegador web.
Falsificación de solicitudes entre sitios (CSRF): Un tipo de explotación maliciosa de un sitio web donde se transmiten comandos no autorizados desde un usuario en el que el sitio web confía. Esto también se conoce como “one-clicl attack” (ataque de un clic) o “session riding” (uso de sesión autorizada por el usuario).
Fecha de entrada en vigencia
La fecha de entrada en vigencia de esta política es el 20 de enero de 2023.