Política de divulgación de vulnerabilidad

Introducción

La National Credit Union Administration (NCUA) se compromete a proporcionar, a través de la regulación y la supervisión, un sistema de cooperativas de crédito de ahorro y crédito seguro y sólido que promueva la confianza en el sistema nacional de crédito cooperativo. La NCUA protege la seguridad y solidez del sistema de cooperativas de ahorro y crédito al identificar, monitorear y reducir riesgos del fondo de seguro de depósitos de las cooperativas de ahorro y créditos nacionales. Respaldado por la fe y el crédito de los Estados Unidos, el fondo de seguro de depósitos ofrece hasta $250,000 del seguro de depósitos federal a millones de titulares de cuentas en todas las cooperativas de ahorro y crédito federales y a una gran cantidad de cooperativas de ahorro y crédito estatales.

Queremos que los investigadores de seguridad se sientan cómodos al informarnos sobre las vulnerabilidades que descubren, como se establece en esta política, para que podamos solucionarlas y mantener nuestra información segura. Hemos desarrollado esta política para reflejar nuestros valores y respetar nuestro sentido de la responsabilidad con los investigadores de seguridad que nos comparten su experiencia de buena fe1.

Esta política pretende brindarles a los investigadores de seguridad pautas claras para llevar a cabo diversas actividades a fin de descubrir las vulnerabilidades y para transmitir nuestras preferencias sobre cómo informarnos sobre las vulnerabilidades encontradas. También describe los sistemas y tipos de investigación que cubre, cómo enviarnos los informes sobre la vulnerabilidad y cuánto tiempo les pedimos a los investigadores de seguridad que esperen antes de revelar públicamente las vulnerabilidades.

Pautas

Necesitamos que:

  • Informe las vulnerabilidades lo antes posible al descubrir un problema de seguridad real o potencial
  • Nos proporcione un tiempo razonable para resolver el problema antes de divulgarlo públicamente
  • Haga todo lo posible para evitar violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos
  • Utilice los exploits sólo en la medida necesaria para confirmar la presencia de vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, o para "pivotar" a otros sistemas
  • Una vez que haya comprobado la existencia de una vulnerabilidad o haya encontrado algún dato sensible (incluida la información personal identificable, la información financiera o la información de propiedad o los secretos comerciales de cualquiera de las partes), detenga su prueba, nos notifique inmediatamente y no revele estos datos a nadie más
  • No presente un gran volumen de informes de baja calidad
  • Mantenga la confidencialidad de cualquier información sobre las vulnerabilidades descubiertas hasta 45 días hábiles después de haberlo notificado a la NCUA. Para más información, consulte la divulgación coordinada

Autorización

Si intenta cumplir de buena fe con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, trabajaremos con usted para entender y resolver el problema rápidamente, y la NCUA no recomendará ni emprenderá acciones legales relacionadas con su investigación.

Alcance

Esta política se aplica a los siguientes sistemas y servicios:

  • NCUA.gov

Todo servicio que no figure expresamente en la lista anterior, como cualquier servicio conectado, queda excluido del alcance y no se autoriza su comprobación. Además, las vulnerabilidades encontradas en los sistemas no federales de nuestros proveedores quedan fuera del alcance de esta política y deben comunicarse directamente al proveedor de acuerdo con su política de divulgación (si la hay). Si no está seguro de si un sistema o parámetros evaluables se encuentran dentro del alcance o no, contáctenos a support@responsibledisclosure.com antes de comenzar su investigación o comuníquese con el contacto de seguridad del nombre de dominio del sistema que aparece en .gov WHOIS.

Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles por Internet, pedimos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios que se encuentran dentro del alcance detallado en este documento. Si hay un sistema concreto que no está incluido en el alcance y que cree que merece ser probado, contáctenos para discutirlo primero. Con el tiempo, ampliaremos el alcance de esta política.

Los siguientes tipos de prueba no están autorizados:

  • Pruebas de denegación de servicio en la red (DoS o DDoS)
  • Pruebas físicas (por ejemplo, acceso a la oficina, puertas abiertas, seguimiento)
  • Ingeniería social (por ejemplo, phishing, vishing)
  • Cualquier otra prueba de vulnerabilidad no técnica

Si encuentra alguna de las siguientes situaciones en nuestros sistemas mientras realiza pruebas dentro del alcance de esta política, detenga su prueba y notifíquenos inmediatamente:

  • Información personal
  • Información financiera (por ejemplo, números de tarjetas de crédito o cuentas bancarias)

Informar una vulnerabilidad

La información presentada en virtud de esta política se utilizará únicamente con fines defensivos: para mitigar o remediar las vulnerabilidades.

Aceptamos y discutimos los informes de vulnerabilidad a través de este formulario. Los informes pueden presentarse de forma anónima.

Cuando se nos notifiquen debidamente los problemas legítimos, acusaremos recibo de su informe en un plazo de siete (7) días laborables, asignaremos recursos para investigar el problema y solucionaremos los posibles problemas lo antes posible.

Lo que nos gustaría ver

Para ayudarnos a clasificar y priorizar las presentaciones, recomendamos que sus informes:

  • Describan la vulnerabilidad, dónde fue descubierta y el impacto potencial de su explotación.
  • Incluyan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad. Los scripts de prueba de concepto (POC) y las capturas de pantalla son útiles. Por favor, tenga mucho cuidado al etiquetar y proteger adecuadamente un código de explotación.
  • Contengan cualquier información técnica y material relacionada que necesitemos para reproducir el problema.

Por favor, mantenga sus informes de vulnerabilidad actualizados y detalle cualquier información nueva a medida que esté disponible.

Podemos compartir sus informes de vulnerabilidad con US-CERTasí como con los proveedores o proyectos de código abierto afectados.

Qué haremos

Cuando usted decida compartir su información de contacto con nosotros, nos comprometemos a comunicarnos con usted de la forma más abierta y rápida posible.

  • En un plazo de 7 días laborables, acusaremos recibo de su informe.
  • En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos siguiendo durante el proceso de reparación, incluidos los problemas o desafíos que puedan retrasar la resolución.
  • Mantendremos un diálogo abierto para debatir los problemas.

Divulgación coordinada

La NCUA prevé parchear la mayoría de las vulnerabilidades en un plazo de 180 días laborables o menos, y divulgar los detalles de dichas vulnerabilidades cuando se publiquen los parches. Creemos que la divulgación pública de vulnerabilidades es una parte esencial del proceso de divulgación y que una de las mejores maneras de mejorar el software es permitir que todos aprendan de los errores de los demás. Al mismo tiempo, creemos que la divulgación en ausencia de un parche disponible tiende a aumentar el riesgo en lugar de reducirlo, por lo que le pedimos que se abstenga de compartir su informe con otros mientras trabajamos en nuestro parche. Si cree que hay otras personas que deben ser notificadas sobre su informe antes de que el parche esté disponible, háganoslo saber para que podamos tomar medidas. Coordinaremos con usted un aviso que se publicará simultáneamente con el parche. Consulte con nosotros antes de la autodivulgación a través de support@responsibledisclosure.com.

Historial de cambios en los documentos

Versión Fecha Descripción
1.0 Marzo de 2021 Primera emisión.
Última modificación el
03/01/21