Pautas para la divulgación responsable de vulnerabilidades
El equipo de seguridad de Cigna HealthcareSM cree firmemente que la colaboración con la comunidad de la seguridad es clave para mantener entornos seguros para todos nuestros clientes, miembros y colaboradores. Si crees que has encontrado una vulnerabilidad de seguridad en un sitio web, una aplicación móvil u otra propiedad de Cigna o de cualquiera de sus subsidiarias o afiliadas, te pedimos que nos informes lo antes posible. Las divulgaciones pueden enviarse a:
Nuestro programa de divulgación responsable se rige por estas Pautas para la divulgación responsable de vulnerabilidades (las “Pautas”). Al reportar una vulnerabilidad a Cigna Healthcare, aceptas estar sujeto a estas Pautas.
Alcance: Software desarrollado por Cigna Healthcare
Nuestro Programa de divulgación responsable se refiere únicamente a las aplicaciones desarrolladas por Cigna Healthcare, sus subsidiarias y afiliadas. Para aplicaciones desarrolladas por terceros, comunícate con las partes implicadas.
Solo deben reportarse vulnerabilidades de seguridad a través de este programa.
Las vulnerabilidades relacionadas con Cigna Healthcare y sus subsidiarias se incluyen en este marco.
Los siguientes casos quedan fuera del alcance de nuestro Programa de divulgación responsable, no califican como vulnerabilidades válidas según estas Pautas y no deben reportarse.
- Versiones desactualizadas de bibliotecas u otros componentes
- Self-XSS
- Configuraciones de seguridad de DNS faltantes (por ejemplo, registros SPF, DKIM, etc.)
- Encabezados HTTP faltantes o mal configurados (por ejemplo, HSTS, X-Frame Options, CSP, etc.)
Pautas para investigadores
La privacidad de nuestros clientes, miembros y colaboradores debe mantenerse durante la divulgación de cualquier vulnerabilidad.
Esta página incluye instrucciones para reportar vulnerabilidades de manera segura a nuestro equipo de seguridad. Cigna Healthcare no acepta divulgaciones que no cumplan estas Pautas.
Te solicitamos que:
- No elimines ningún dato almacenado por Cigna Healthcare o sus subsidiarias o afiliadas.
- No accedas a cualquier aplicación o datos innecesarios para demostrar resultados.
- No realices un ataque de denegación de servicio, interrumpas servicios ni degrades los servicios internos o externos.
- No extraigas ningún dato durante tu investigación.
- Cualquier información confidencial obtenida a través de esta investigación sigue siendo información confidencial de Cigna Healthcare, y de sus subsidiarias o afiliadas según corresponda, y no debe compartirse con terceros. Cualquier información confidencial (por ejemplo, información de salud protegida o información de identificación personal) obtenida a través de esta investigación deberá conservarse solo durante el tiempo que sea necesario para completar la investigación y debe eliminarse de manera segura cuando se resuelva la vulnerabilidad y/o cuando lo indique Cigna Healthcare.
- No ejecutes ninguna herramienta automatizada en nuestros servidores.
- No intentes hacer un uso abusivo de los recursos de nuestros servidores, incluyendo, entre otros, el envío de correos electrónicos no deseados o no autorizados.
- Los ataques de ingeniería social, incluidos pero no limitados al phishing están fuera del alcance.
- Permite un mínimo de 90 días a partir de la fecha en que confirmamos la recepción de tu divulgación para revisar y corregir los problemas reportados. Después de este período de 90 días, puedes divulgar públicamente tu investigación sobre vulnerabilidad, excepto cualquier información de identificación personal o información de salud protegida que debe permanecer confidencial en todo momento, incluso después de la corrección.
- Reconoces y aceptas que podría haber situaciones en las cuales Cigna Healthcare tenga un interés razonable y legítimo en comprender la naturaleza de cualquier divulgación pública que puedas hacer. Cuando sea razonable según las circunstancias, aceptas colaborar con Cigna Healthcare para coordinar esa divulgación pública.
- Solo divulga las vulnerabilidades públicamente después de ser corregidas en conformidad con estas Pautas.
Presentación de divulgación responsable de vulnerabilidades
La divulgación de una vulnerabilidad debe incluir la siguiente información para que se considere una divulgación válida según estas Pautas y nuestro Programa de divulgación responsable:
- Cantidad razonable de información sobre la vulnerabilidad técnica que permitirá a Cigna Healthcare reproducir tus pasos.
- Código de prueba de concepto funcional.
- Cómo se puede explotar la vulnerabilidad en un escenario real.
- Tu dirección de correo electrónico.
- Aceptamos divulgaciones anónimas, pero no podremos agradecer o brindar ningún tipo de reconocimiento por tu aporte.
- Tu nombre y usuario de Twitter si deseas ser incluido en el Researcher Hall of Fame de Cigna.
- Los investigadores serán incluidos en nuestro Researcher Hall of Fame bajo nuestro criterio.
- Si no deseas ser incluido en nuestro Researcher Hall of Fame, notifícanos por correo electrónico.
La información sobre vulnerabilidades es extremadamente sensible. Envíanos tu divulgación de vulnerabilidad por correo electrónico utilizando la siguiente
Key fingerprint (Huella digital clave): 2A9A28E3A3B75F4F63F9EB56251AF5E27E30FA80
Envía estos mensajes a
Cigna Healthcare hará un esfuerzo razonable para confirmar que recibimos tu divulgación en el transcurso de siete (7) días hábiles y te indicará los siguientes pasos. Si lo solicitas y es razonable según las circunstancias, te notificaremos cuando se haya corregido la vulnerabilidad.
La validez de la divulgación se evaluará a nuestro exclusivo criterio. Por supuesto, haremos un esfuerzo razonable para trabajar contigo y entender mejor tu divulgación. Cigna Healthcare y sus subsidiarias y afiliadas tienen libertad para utilizar e incorporar cualquier comentario, sugerencia o recomendación que le comuniques a Cigna Healthcare.
Reconocimiento
Reconocemos la importancia de los investigadores expertos en seguridad informática que ayudan a que el espacio digital sea más seguro para todos. Las vulnerabilidades divulgadas en conformidad con estas Pautas se incluyen en nuestro Researcher Hall of Fame a nuestro exclusivo criterio. No compensamos de otro modo a los investigadores por identificar posibles o confirmadas vulnerabilidades.
No iniciaremos ninguna acción legal en tu contra si actúas de buena fe al realizar tu investigación, cumples con estas Pautas y no participas en ninguna conducta ilegal, no intentas perjudicar a Cigna Healthcare ni a nuestras subsidiarias, afiliadas, clientes, miembros, colaboradores u otras personas, ni infringes o haces un uso indebido de la propiedad de Cigna Healthcare.
Researcher Hall of Fame
Investigadores del Researcher Hall of Fame son investigadores de seguridad que han divulgado responsablemente un asunto de seguridad siguiendo las pautas antes mencionadas. Agradecemos a los siguientes investigadores por su ayuda para mejorar nuestros productos:
Muhammad Zain Khan
Rishav Dhakrey
Mitchell Robson
Noor Mohammad Gagguturi y Kandukuru Sai Jaswanth
Nikhil Rane
Max Chee
Chi Tran
Shivam Sharma
Navreet
Kirti Soni
Nijin K
Dharshan12
Parag Bapu Bagul
Yaswanth Sai Boligarla
Enlaces relacionados
Page Footer
Quiero...
Audiencia
Sitios seguros para miembros
Información sobre The Cigna Group
Aviso legal
Los planes individuales y familiares de seguro médico y dental están asegurados por Cigna Health and Life Insurance Company (CHLIC), Cigna HealthCare of Arizona, Inc., Cigna HealthCare of Illinois, Inc., Cigna HealthCare of Georgia, Inc., Cigna HealthCare of North Carolina, Inc., Cigna HealthCare of South Carolina, Inc. y Cigna HealthCare of Texas, Inc. Los planes de beneficios de salud y de seguro de salud de grupo están asegurados o administrados por CHLIC, Connecticut General Life Insurance Company (CGLIC) o sus afiliadas (puedes ver
Todas las pólizas de seguros y los planes de beneficios de grupo contienen exclusiones y limitaciones. Para conocer la disponibilidad, los costos y detalles completos de la cobertura, comunícate con un agente autorizado o con un representante de ventas de Cigna. Este sitio web no está dirigido a los residentes de New Mexico.