VDP de VitalKronos

En VitalKronos, la integridad de los datos medicos es nuestra prioridad. Valoramos el trabajo de los investigadores de seguridad y agradecemos la divulgacion responsable de cualquier hallazgo.

Lo que esperamos de ti

  • Realices las pruebas de manera voluntaria y sin derecho a recibir compensación económica o cualquier tipo de recompensa financiera por tu participación.
  • Informes de inmediato cualquier vulnerabilidad que hayas descubierto.
  • Evita violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario.
  • Utiliza únicamente los canales oficiales para discutir con nosotros la información sobre las vulnerabilidades.
  • Realiza pruebas sólo en los sistemas incluidos en el alcance del programa y respeta los sistemas y actividades que están fuera de dicho alcance.
  • Si una vulnerabilidad proporciona acceso a datos sensibles y/o confidenciales: reduce al mínimo necesario la cantidad de datos a los que accedes para demostrar eficazmente una prueba de concepto; finaliza las pruebas y envía un informe inmediatamente si encuentras datos de usuarios durante las pruebas, como información de identificación personal (PII), información médica personal (PHI), datos de tarjetas de crédito o información confidencial.

Dentro de alcance

  • https://api.vitalkronos.com
  • https://vitalkronos.com

Acciones no permitidas

  • Copiar, alterar o eliminar datos del sistema informático.
  • Modificar los parámetros del sistema informático.
  • Instalar malware: virus, gusanos, troyanos, etc.
  • Ataques de denegación de servicio distribuido (DDOS).
  • Ataques de ingeniería social.
  • Ataques de phishing.
  • Spamming.
  • Robo de contraseñas o ataques de fuerza bruta.
  • Instalar un dispositivo para interceptar, almacenar u obtener información sobre comunicaciones (electrónicas) que no son accesibles al público.
  • La interceptación, el almacenamiento o la recepción intencionados de comunicaciones no accesibles al público o de comunicaciones electrónicas.

Vulnerabilidades fuera del alcance

Los siguientes tipos de envios estan excluidos de este programa:

Vulnerabilidades teoricas que requieren una interaccion o circunstancias poco probables por parte del usuario. Por ejemplo:

  • Vulnerabilidades que solo afectan a usuarios de navegadores u operativos obsoletos o que ya no reciben soporte tecnico.
  • Broken link hijacking.
  • Tabnabbing.
  • Content spoofing e inyeccion de texto.
  • Ataques que requieren acceso fisico a un dispositivo (a menos que se indique explicitamente lo contrario).
  • Self-exploitation, como self-XSS o self-DoS (a menos que se pueda utilizar para atacar una cuenta diferente).

Vulnerabilidades teoricas que no demuestran un impacto real en la seguridad. Por ejemplo:

  • Clickjacking en paginas sin acciones confidenciales.
  • Cross-Site Request Forgery (CSRF) en formularios sin acciones confidenciales (por ejemplo, cierre de sesion).
  • Configuraciones CORS permisivas sin impacto demostrado en la seguridad.
  • Divulgacion de la version del software / Mensajes de error o encabezados descriptivos (por ejemplo, trazas de pila, errores de aplicacion o de servidor).
  • Inyeccion de valores separados por comas (CSV).
  • Open redirects (a menos que se pueda demostrar un impacto adicional en la seguridad).

Medidas opcionales de refuerzo de la seguridad / Falta de buenas practicas. Por ejemplo:

  • Configuraciones SSL/TLS.
  • Falta de SSL Pinning.
  • Gestion de cookies (por ejemplo, falta de las flags HttpOnly/Secure).
  • Configuraciones de Content-Security-Policy.
  • Funciones de seguridad de correo electronico opcionales (por ejemplo, configuraciones SPF/DKIM/DMARC).
  • La mayoria de los problemas relacionados con rate limiting.

Como reportar un hallazgo

Si has identificado una vulnerabilidad, por favor envia un informe detallado a nuestra direccion de contacto oficial. Incluye pasos para reproducir el error y el impacto potencial.

developer@vitalkronos.com