La divulgación responsable de las vulnerabilidades de seguridad requiere confianza, respeto, transparencia y el objetivo mutuo de trabajar por el bien común cibernético. El Programa de Divulgación de Vulnerabilidades de CVS Health tiene como objetivo establecer estas condiciones para proteger los datos de nuestros clientes, accionistas, pacientes y miembros.
Si ve algo, dígalo. En el transcurso de sus interacciones con nuestros sitios web, si detecta una vulnerabilidad de seguridad, lo invitamos a que nos lo comunique a través de esta página. Su notificación se enviará para su oportuno acuse de recibo y verificación. Los problemas verificados se remitirán a nuestros equipos de desarrollo para que los solucionen en un plazo acorde a la gravedad.
Si desea buscar activamente fallos de seguridad en nuestras aplicaciones, organizamos programas privados de recompensas por fallos a través de Bug Crowd y lo invitamos a participar en ellos. Estos programas funcionan en un entorno "seguro para pruebas" (no de producción) en el que no se pone en peligro la confidencialidad, integridad y disponibilidad de los datos de nuestros clientes. Solo se ofrecen recompensas económicas en estos programas privados de recompensas por fallos. Las recompensas se basan, en parte, en la gravedad del fallo que se informa.
Notificación de vulnerabilidades de seguridad encontradas en nuestro entorno de producción
Se espera que usted participe responsablemente en las investigaciones de seguridad. Por ejemplo, si descubre una contraseña o clave expuesta públicamente, no debe utilizarla para probar el alcance del acceso que concede ni intentar descargar o exfiltrar datos para demostrar que es una clave activa. De manera similar, si descubre una inyección SQL exitosa, se espera que no explote la vulnerabilidad más allá de los pasos necesarios para demostrar su prueba de concepto.
De acuerdo con nuestra política, si desea participar en el Programa de Divulgación de Vulnerabilidades de CVS Health, deberá seguir estas directrices:
No provocar daños. Cualquier exfiltración o descarga de datos de CVS Health/Aetna, divulgación de información confidencial o interrupción de la experiencia de nuestros clientes quedan fuera del alcance de este programa y de cualquier protección que pueda ofrecer frente a acciones legales.
Exigir un pago a cambio de la destrucción de datos de CVS Health/Aetna hará que se le considere y trate como una amenaza y no como un participante en nuestro programa.