Política de divulgación de vulnerabilidades

FEMA se ha comprometido a proteger la información del público contra la divulgación no autorizada. Esta política se ha diseñado para proveer directrices claras a los investigadores de seguridad para realizar actividades de detección de vulnerabilidades y para comunicar nuestras preferencias en cuanto a cómo se deben presentar las vulnerabilidades detectadas a nosotros.

Esta política describe cuáles sistemas y tipos de investigaciones están cubiertos por esta política, cómo enviarnos informes de vulnerabilidades y por cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de divulgar las vulnerabilidades al público.

Le exhortamos a comunicarse con nosotros para informarnos sobre las posibles vulnerabilidades en nuestros sistemas.

Si concluimos que sus actividades de investigación de seguridad y divulgación de vulnerabilidades representan un esfuerzo de buena fe para cumplir con esta política, consideraremos que su investigación es autorizada y no iniciaremos ni recomendaremos ninguna demanda civil o acción del orden público en relación con esas actividades.

• Usted debe cumplir con todas las leyes correspondientes a nivel Federal, Estatal y local en conexión con sus actividades de investigación de seguridad.
• No damos nuestra autorización, permiso o consentimiento (expreso o implícito) a ningún individuo o entidad para realizar actividades de investigación de seguridad o de divulgación de vulnerabilidades o amenazas que no cumplan con esta política o la ley.  Las personas que realizan actividades que no cumplen con esta política o la ley podrían estar sujetas a responsabilidades penales y/o civiles.

Trabajaremos con usted para entender y resolver el asunto rápidamente y no recomendaremos ni perseguiremos medidas legales relacionadas con sus investigaciones.

En caso de que una tercera parte inicie alguna actividad legal en su contra por sus actividades autorizadas de investigación de seguridad, tomaremos las medidas necesarias para manifestar esta autorización.

En el marco de esta política, "investigación" significa las actividades en que usted debe:

• Notificarnos inmediatamente después de descubrir un asunto real o posible de seguridad.
• Realice todo esfuerzo posible para evitar los incidentes de privacidad, la degradación de la experiencia del usuario, la interrupción de sistemas de producción y la destrucción o manipulación de datos.
• Solo utilice las vulnerabilidades en la medida necesaria para confirmar la vulnerabilidad. No utilice una vulnerabilidad para comprometer o extraer datos, establecer acceso de línea de comandos y/o persistencia, y no use la vulnerabilidad para llegar a otros sistemas.
• Debe facilitarnos 90 días laborales para resolver el asunto antes de divulgarlo al público.
• No presente un alto volumen de informes de baja calidad.

Una vez que haya establecido que existe una vulnerabilidad o que encuentre datos confidenciales (incluyendo información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquier parte), tiene que detener su prueba, notificarnos de inmediato y no divulgar los datos a ninguna otra persona.

Los siguientes métodos de prueba NO son autorizados:

• Realizar pruebas de denegación de servicio (DoS o DDoS, por sus siglas en inglés) de la red u otras pruebas que impidan el acceso u ocasionen daños a un sistema o datos.
• Pruebas físicas (por ejemplo, acceder a una oficina/instalación o equipos, puertas abiertas, colarse) o la introducción de cualquier dispositivo no autorizado en una red de FEMA (por ejemplo, WiFi, computadoras, dispositivos móviles, Bluetooth).
• Introducir lógica maliciosa.
• Probar cualquier sistema o servicio a parte de los sistemas descritos en la sección de Alcance.
• Realizar o participar en pruebas de ingeniería social (por ejemplo, phishing, vishing) o cualquier otro tipo de pruebas de vulnerabilidades no técnicas.
• Alterar, borrar, extraer, compartir o destruir datos de FEMA.

Esta política se aplica solamente a los siguientes sistemas y servicios públicos que son propiedad de FEMA y bajo su control:

• FEMA.gov
• DisasterAssistance.gov
• FirstResponderTraining.gov
• Floodsmart.gov
• Listo.gov
• Ready.gov
• ReadyBusiness.gov

Cualquier servicio que no está listado expresamente arriba, tal como cualquier servicio conectado, queda excluido del alcance y no es autorizado para pruebas.

Las vulnerabilidades que se encuentran en los sistemas de nuestros proveedores están fuera del alcance de esta política y deben ser informadas directamente al proveedor, de acuerdo con la política de divulgación del proveedor (si la tiene).

Si no está seguro si un sistema o servicio queda dentro del alcance, escríbanos en FEMA-VDP@fema.dhs.gov antes de comenzar su investigación. También puede comunicarse con el contacto de seguridad para el nombre del dominio del sistema listado en .gov WHOIS.

Aunque nosotros desarrollamos y mantenemos otros sistemas o servicios con acceso de internet, pedimos que solamente se realice investigaciones y pruebas activas en los sistemas y servicios cubiertos por el alcance de esta política.

De haber un sistema que no queda dentro del alcance que usted cree merece ser probado, comuníquese con nosotros primero.  Aumentaremos el alcance de esta política con el tiempo.

Se aceptan los informes sobre vulnerabilidades por correo electrónico enviado a FEMA-VDP@fema.dhs.gov. Los formatos aceptables son el texto sin formato, el texto enriquecido y HTML. No podemos aceptar correos electrónicos cifrados en PGP.

Los informes podrán enviarse de manera anónima. Si comparte su información de contacto, confirmaremos el recibo del informe dentro de 3 días laborales y le informaremos de las medidas que tomemos.

No proveemos pagos por las vulnerabilidades informadas, y al enviarnos un informe, usted renunciará a cualquier reclamación de compensación.

La información presentada en el marco de esta política será usada para fines defensivos solamente – es decir, para mitigar o reparar las vulnerabilidades.

Si sus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no solamente a FEMA, podríamos compartir su informe con la Agencia de Seguridad Cibernética y de la Infraestructura (CISA, por sus siglas en inglés), donde se manejará de acuerdo con su proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre ni su información de contacto sin pedir su permiso.

Para ayudarnos a realizar una evaluación inicial y priorizar los informes recibidos, recomendamos que sus informes:

• Ofrezcan un resumen detallado que incluya el asunto (o los asuntos), el producto de software, las versiones y la configuración del software que contiene la vulnerabilidad;
• Describan dónde se descubrió la vulnerabilidad y el posible impacto de su explotación;
• Ofrezcan una descripción de los pasos necesarios para reproducir la vulnerabilidad (secuencias de comandos de demostración conceptual o capturas de pantalla son útiles);
• Se escriba en inglés, de ser posible; y
• Incluya las secuencias de comandos o código de la vulnerabilidad en los tipos de archivo no ejecutable.

Cuando decide compartir su información de contacto con nosotros, nos comprometemos a coordinar con usted de la manera más abierta y rápida que sea posible.

• Dentro de 3 días laborales, confirmaremos que hemos recibido su informe.
• Intentaremos confirmar la existencia de la vulnerabilidad con usted y ser tan transparentes como sea posible en cuanto a los pasos que tomemos durante el proceso de reparación, incluyendo sobre los asuntos o retos que podrían atrasar la resolución.

Puede enviar sus preguntas sobre esta política a FEMA-VDP@fema.dhs.gov. También le invitamos a comunicarse con nosotros sobre sus sugerencias para mejorar esta política.