Pasar al contenido principal

Política de divulgación de vulnerabilidades

Introducción

La Agencia de Servicios Previos al Juicio para el Distrito de Columbia (PSA, por sus siglas en inglés) es una entidad federal independiente dentro de la Agencia de Servicios Judiciales y Supervisión de Delincuentes (CSOSA, por sus siglas en inglés). PSA ha servido a la capital de la nación durante más de 50 años. El Organismo ayuda a los funcionarios judiciales del Tribunal Superior del Distrito de Columbia y del Tribunal de Distrito de los Estados Unidos para el Distrito de Columbia a formular recomendaciones de excarcelación y a proporcionar supervisión y servicios a los acusados en espera de juicio que garanticen razonablemente que los que están en libertad condicional regresen a los tribunales y no participen en actividades delictivas.
PSA se compromete a garantizar la seguridad del público estadounidense mediante la protección de su información. Esta política tiene como objetivo proporcionar a los investigadores de seguridad directrices claras para llevar a cabo actividades de detección de vulnerabilidades y transmitir nuestras preferencias sobre cómo enviarnos las vulnerabilidades descubiertas.
Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política, cómo enviarnos informes de vulnerabilidades y cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de divulgar públicamente las vulnerabilidades.
Le animamos a que se ponga en contacto con nosotros para informar de posibles vulnerabilidades en nuestros sistemas.


Autorización

Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, trabajaremos con usted para comprender y resolver el problema rápidamente, y PSA no recomendará ni emprenderá acciones legales relacionadas con su investigación. En caso de que un tercero inicie una acción legal contra usted por actividades que se llevaron a cabo de acuerdo con esta política, le haremos saber esta autorización.


Directrices

En virtud de esta política, "investigación" se refiere a las actividades en las que usted:

  • Notifíquenos lo antes posible después de descubrir un problema de seguridad real o potencial.
  • Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
  • Utilice los exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, establecer acceso a la línea de comandos y/o persistencia, ni utilizar el exploit para pivotar a otros sistemas.
  • Proporciónenos un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
    No envíe un gran volumen de informes de baja calidad.
     

Una vez que haya establecido que existe una vulnerabilidad o encuentre datos confidenciales (incluida la información de identificación personal, la información financiera o la información de propiedad o los secretos comerciales de cualquier parte), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.
 

Métodos de ensayo

Los siguientes métodos de prueba no están autorizados:

  • Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que perjudiquen el acceso o dañen un sistema o datos
  • Pruebas físicas (p. ej., acceso a oficinas, puertas abiertas, tailgating), ingeniería social (p. ej., phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica

Alcance

  • *.psa.gov
  • *.pretrialservices.gov
  • psa.gov
  • pretrialservices.gov
     

Cualquier servicio no mencionado expresamente anteriormente, como los servicios conectados, está excluido del alcance y no está autorizado para pruebas. Además, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera del alcance de esta política y deben informarse directamente al proveedor de acuerdo con su política de divulgación (si la hubiera). Si no está seguro de si un sistema está dentro del alcance o no, comuníquese con nosotros al PSAITSecurity@psa.gov antes de comenzar su investigación (o al contacto de seguridad del nombre de dominio del sistema que figura en el WHOIS .gov).

Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles a través de Internet, solicitamos que solo se realicen investigaciones y pruebas activas en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema en particular que no está dentro del alcance y que cree que merece ser probado, póngase en contacto con nosotros para discutirlo primero. Aumentaremos el alcance de esta política con el tiempo.

Informar de una vulnerabilidad

La información enviada en virtud de esta política se utilizará únicamente con fines defensivos, para mitigar o remediar vulnerabilidades. Si sus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a PSA, podemos compartir su informe con la Agencia de Seguridad de Infraestructura y Ciberseguridad, donde se manejará bajo su proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre o información de contacto sin permiso expreso.

Aceptamos informes de vulnerabilidad por correo electrónico a PSAITSecurity@psa.gov. Las denuncias pueden presentarse de forma anónima. Si comparte información de contacto, acusaremos recibo de su informe dentro de los 3 días hábiles.
No admitimos correos electrónicos cifrados con PGP.


Lo que nos gustaría ver de ti

Con el fin de ayudarnos a clasificar y priorizar los envíos, recomendamos que sus informes:

  • Describa la ubicación en la que se descubrió la vulnerabilidad y el impacto potencial de la explotación.
  • Ofrezca una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto o las capturas de pantalla son útiles).
  • Estar en inglés, si es posible.
     

Lo que puedes esperar de nosotros 

Cuando elige compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la manera más abierta y rápida posible. 

  • Dentro de los 3 días hábiles, acusaremos recibo de su informe.
  • En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos tomando durante el proceso de corrección, incluidos los problemas o desafíos que puedan retrasar la resolución.
  • Mantendremos un diálogo abierto para discutir los temas

Preguntas

Las preguntas relacionadas con esta política pueden enviarse a PSAITSecurity@psa.gov. También le invitamos a ponerse en contacto con nosotros con sugerencias para mejorar esta política.

Actualizado el 14 de octubre de 2024