Pautas para la divulgación responsable de vulnerabilidades

El equipo de seguridad de Cigna Healthcare® cree firmemente que la colaboración con la comunidad de la seguridad es clave para mantener entornos seguros para todos nuestros clientes, miembros y colaboradores. Si crees que has encontrado una vulnerabilidad de seguridad en un sitio web, una aplicación móvil u otra propiedad de Cigna o de cualquiera de sus subsidiarias o afiliadas, te pedimos que nos informes lo antes posible. Las divulgaciones pueden enviarse a: security@cigna.com

Nuestro programa de divulgación responsable se rige por estas Pautas para la divulgación responsable de vulnerabilidades (las “Pautas”). Al reportar una vulnerabilidad a Cigna Healthcare, aceptas estar sujeto a estas Pautas.

Alcance: Software desarrollado por Cigna Healthcare

Nuestro Programa de divulgación responsable se refiere únicamente a las aplicaciones desarrolladas por Cigna Healthcare, sus subsidiarias y afiliadas. Para aplicaciones desarrolladas por terceros, comunícate con las partes implicadas.

Solo deben reportarse vulnerabilidades de seguridad a través de este programa.

Las vulnerabilidades relacionadas con Cigna Healthcare y sus subsidiarias se incluyen en este marco.

Los siguientes casos quedan fuera del alcance de nuestro Programa de divulgación responsable, no califican como vulnerabilidades válidas según estas Pautas y no deben reportarse.

  • Versiones desactualizadas de bibliotecas u otros componentes
  • Self-XSS
  • Configuraciones de seguridad de DNS faltantes (por ejemplo, registros SPF, DKIM, etc.)
  • Encabezados HTTP faltantes o mal configurados (por ejemplo, HSTS, X-Frame Options, CSP, etc.)

Pautas para investigadores

La privacidad de nuestros clientes, miembros y colaboradores debe mantenerse durante la divulgación de cualquier vulnerabilidad.

Esta página incluye instrucciones para reportar vulnerabilidades de manera segura a nuestro equipo de seguridad. Cigna Healthcare no acepta divulgaciones que no cumplan estas Pautas.

Te solicitamos que:

  • No elimines ningún dato almacenado por Cigna Healthcare o sus subsidiarias o afiliadas.
  • No accedas a cualquier aplicación o datos innecesarios para demostrar resultados.
  • No realices un ataque de denegación de servicio, interrumpas servicios ni degrades los servicios internos o externos.
  • No extraigas ningún dato durante tu investigación.
  • Cualquier información confidencial obtenida a través de esta investigación sigue siendo información confidencial de Cigna Healthcare, y de sus subsidiarias o afiliadas según corresponda, y no debe compartirse con terceros. Cualquier información confidencial (por ejemplo, información de salud protegida o información de identificación personal) obtenida a través de esta investigación deberá conservarse solo durante el tiempo que sea necesario para completar la investigación y debe eliminarse de manera segura cuando se resuelva la vulnerabilidad y/o cuando lo indique Cigna Healthcare.
  • No ejecutes ninguna herramienta automatizada en nuestros servidores.
  • No intentes hacer un uso abusivo de los recursos de nuestros servidores, incluyendo, entre otros, el envío de correos electrónicos no deseados o no autorizados.
  • Los ataques de ingeniería social, incluidos pero no limitados al phishing están fuera del alcance.
  • Permite un mínimo de 90 días a partir de la fecha en que confirmamos la recepción de tu divulgación para revisar y corregir los problemas reportados. Después de este período de 90 días, puedes divulgar públicamente tu investigación sobre vulnerabilidad, excepto cualquier información de identificación personal o información de salud protegida que debe permanecer confidencial en todo momento, incluso después de la corrección.
  • Reconoces y aceptas que podría haber situaciones en las cuales Cigna Healthcare tenga un interés razonable y legítimo en comprender la naturaleza de cualquier divulgación pública que puedas hacer. Cuando sea razonable según las circunstancias, aceptas colaborar con Cigna Healthcare para coordinar esa divulgación pública.
  • Solo divulga las vulnerabilidades públicamente después de ser corregidas en conformidad con estas Pautas.

Presentación de divulgación responsable de vulnerabilidades

La divulgación de una vulnerabilidad debe incluir la siguiente información para que se considere una divulgación válida según estas Pautas y nuestro Programa de divulgación responsable:

  • Cantidad razonable de información sobre la vulnerabilidad técnica que permitirá a Cigna Healthcare reproducir tus pasos.
  • Código de prueba de concepto funcional.
  • Cómo se puede explotar la vulnerabilidad en un escenario real.
  • Tu dirección de correo electrónico.
    • Aceptamos divulgaciones anónimas, pero no podremos agradecer o brindar ningún tipo de reconocimiento por tu aporte.
  • Tu nombre y usuario de Twitter si deseas ser incluido en el Researcher Hall of Fame de Cigna.
    • Los investigadores serán incluidos en nuestro Researcher Hall of Fame bajo nuestro criterio.
    • Si no deseas ser incluido en nuestro Researcher Hall of Fame, notifícanos por correo electrónico.

La información sobre vulnerabilidades es extremadamente sensible. Envíanos tu divulgación de vulnerabilidad por correo electrónico utilizando la siguiente PGP key

Key fingerprint (Huella digital clave): 1032 993A B76C 4C63 FAF0 8DAC 605B 84FA CBD8 0994

Envía estos mensajes a security@cigna.com

Cigna Healthcare hará un esfuerzo razonable para confirmar que recibimos tu divulgación en el transcurso de siete (7) días hábiles y te indicará los siguientes pasos. Si lo solicitas y es razonable según las circunstancias, te notificaremos cuando se haya corregido la vulnerabilidad.

La validez de la divulgación se evaluará a nuestro exclusivo criterio. Por supuesto, haremos un esfuerzo razonable para trabajar contigo y entender mejor tu divulgación. Cigna Healthcare y sus subsidiarias y afiliadas tienen libertad para utilizar e incorporar cualquier comentario, sugerencia o recomendación que le comuniques a Cigna Healthcare.

Reconocimiento

Reconocemos la importancia de los investigadores expertos en seguridad informática que ayudan a que el espacio digital sea más seguro para todos. Las vulnerabilidades divulgadas en conformidad con estas Pautas se incluyen en nuestro Researcher Hall of Fame a nuestro exclusivo criterio. No compensamos de otro modo a los investigadores por identificar posibles o confirmadas vulnerabilidades.

No iniciaremos ninguna acción legal en tu contra si actúas de buena fe al realizar tu investigación, cumples con estas Pautas y no participas en ninguna conducta ilegal, no intentas perjudicar a Cigna Healthcare ni a nuestras subsidiarias, afiliadas, clientes, miembros, colaboradores u otras personas, ni infringes o haces un uso indebido de la propiedad de Cigna Healthcare.

Researcher Hall of Fame

Investigadores del Researcher Hall of Fame son investigadores de seguridad que han divulgado responsablemente un asunto de seguridad siguiendo las pautas antes mencionadas. Agradecemos a los siguientes investigadores por su ayuda para mejorar nuestros productos:

Muhammad Zain Khan

Rishav Dhakrey

Mitchell Robson

Noor Mohammad Gagguturi y Kandukuru Sai Jaswanth

Nikhil Rane

Max Chee

Chi Tran

Shivam Sharma

Navreet

Kirti Soni

Nijin K

Dharshan12

Parag Bapu Bagul

Yaswanth Sai Boligarla

Dhruv Gupta

Eusebiu Daniel Blindu

Nightwatch Cybersecurity Research

Jimy Nurmahesa

Evan Read

Vaibhav Jain

Mohammed Seddik Mehanneche

Subhash Kumawat

Osama Ansari

Muhammad Rebaal

TahmidNil

Md. Torikul Islam Lipon

Enlaces relacionados