Política de Divulgación Responsable

En Babylon tomamos la protección de la información médica de nuestros miembros con absoluta seriedad. Por ello, contamos con un proceso de ciclo vida para el desarrollo de software seguro a fin de garantizar que la seguridad y la protección de los datos sea el componente fundamental de nuestro programa de gobernanza de la información. Permanentemente procuramos mejorar nuestro trabajo, y los comentarios de nuestros usuarios son de particular importancia. Valoramos la divulgación responsable de las vulnerabilidades de seguridad llevada a cabo por investigadores de seguridad éticos y bienintencionados. Todo esto nos permite proteger la seguridad de su información y mejorar nuestra empresa.

Les solicitamos a los investigadores que no divulguen públicamente información sobre las vulnerabilidades sin antes contactar a Babylon, a fin de que podamos garantizar la protección de la información personal de nuestros usuarios. Con gusto haremos una donación a una organización benéfica en respuesta a las vulnerabilidades halladas, siempre y cuando se nos haya contactado primero y hayamos otorgado nuestro consentimiento por escrito antes de que se divulgue cualquier información.

• Si ha detectado una posible vulnerabilidad (conforme a los criterios de notificación indicados más adelante), tenga a bien informarnos enviando un mensaje de correo electrónico en inglés a: responsible.disclosure@babylonhealth.com.
• Normalmente el equipo de seguridad de Babylon acusará recibo de su mensaje dentro de las 48 horas siguientes.
• Babylon no otorga recompensas monetarias a quienes informan vulnerabilidades, pero con gusto haremos una donación adecuada a una organización benéfica por cada vulnerabilidad válida que nos reporten. En la sección de Donaciones benéficas que figura más adelante encontrará una lista de las organizaciones benéficas que respaldamos.
• Las pautas aplicables al tipo de prueba no pueden modificar ni eliminar ningún dato personal salvo los suyos propios, y no pueden violar ninguna de las Políticas de Privacidad de Babylon o de sus socios comerciales.
• Babylon investigará los hallazgos de su divulgación responsable, y se les asignará prioridad a los parches y/o medidas de mitigación sobre la base de la clasificación de la gravedad, el impacto y facilidad de explotación.
• El remitente de la divulgación de vulnerabilidades recibirá comentarios sobre el resultado de nuestra investigación en forma privada y confidencial.
• Una vez que haya validado el problema encontrado, Babylon resolverá el asunto de manera oportuna, conforme a nuestras políticas de seguridad relevante.
• Babylon notificará al remitente de la divulgación de vulnerabilidad una vez que esta se haya resuelto.
• Todas las divulgaciones deben realizarse de conformidad con las Políticas del Programa de Divulgación Responsable de Babylon.
• Le solicitamos que no informe ninguna vulnerabilidad públicamente (por ejemplo, a los medios de comunicación, en las redes sociales o en otro dominio público) dado el posible impacto que dicha divulgación podría tener en nuestros usuarios. En ese caso, lo consideraríamos una divulgación irresponsable, y solicitamos que se nos conceda la posibilidad de solucionar las vulnerabilidades detectadas antes de realizar cualquier anuncio público.

Nuestro Programa de Divulgación Responsable está sujeto a cambios. Consúltelo frecuentemente a fin de informarse sobre cualquier actualización y asegurarse de no realizar divulgaciones estén fuera del alcance del programa.

En su mensaje de correo electrónico a: responsible.disclosure@babylonhealth.com, tenga a bien incluir la siguiente información en inglés:

• Su nombre
• Descripción de la vulnerabilidad
• Fecha y hora en que identificó la vulnerabilidad
• Cómo identificó la vulnerabilidad
• Su dictamen sobre el posible impacto del error informático o la vulnerabilidad
• Lista detallada de las acciones que efectuó para que podamos reproducir el error informático o la vulnerabilidad
• Capturas de pantalla o prueba de concepto registrada, si corresponde, para que podamos reproducir el error informático o la vulnerabilidad

Le solicitamos que elimine de manera segura todos los datos que haya recopilado durante su investigación en cuanto estos dejen de ser necesarios o, como máximo, un mes después de la resolución de la vulnerabilidad.

Si, en cualquier momento dado, no sabe con certeza si las acciones que planea efectuar coinciden con nuestra Política de Divulgación Responsable, comuníquese con nosotros enviando un mensaje en inglés a: responsible.disclosure@babylonhealth.com. No incluya ningún dato confidencial en ninguna de las comunicaciones iniciales.

A continuación se indican los dominios abarcados (y cualquier subdominio pertinente) y sobre los cuales nos interesa que se nos informe:

• babylonhealth.com
• babylonpartners.com
• babylonhealth.io
• bbl.health
• babylontech.co.uk
• babylonbytelushealth.com
• babylonstatic.com
• gpathand.net
• babyl.co.uk
• babyl.rw
• babylonpartners.rw
• babylonhealth.rw
• babylon.healthcare
• babylon-secure.com

En particular nos interesa recibir información de errores informáticos relacionados con lo siguiente:

• Problemas de autenticación y control de acceso
• Errores de configuración de seguridad relativos a nuestros sistemas o recursos
• Exposición de información confidencial
• Secuencia de comandos en sitios cruzados (XSS)
• Ejecución de códigos de forma remota (RCE)
• Entidades externas SQL o XML (XXE) e inyección de comandos
• Falsificación de solicitudes del lado del servidor (SSRF)
• Falsificación de solicitudes en sitios cruzados (CSRF)
• Redireccionamiento abierto
• Vulnerabilidades detectadas en servicios de terceros utilizados por Babylon

Estos son algunos ejemplos de hallazgos que no es necesario que se nos notifiquen:

• DDoS
• Ataques basados en ingeniería social, como el phishing (o similar)
• Informes o hallazgos generados con herramientas de escaneo sin eliminar los falsos positivos y sin confirmación de que los problemas detectados sean relevantes en contexto
• Escaneos de SSL/TLS
• Divulgación de información que claramente no es confidencial
• Configuración no segura sin impacto evidente
• Ataques por fuerza bruta autogenerados
• Inyección HTML y autosecuencias de comandos en sitios cruzados (auto-XSS)
• Cierres de sesión
• Problemas relacionados con encabezamientos huésped y captura de banners
• Cierre de sesión de CSRF
• Enumeración de usuarios (p. ej., correo electrónico o identificación del usuario)
• Datos EXIF no extraídos de las imágenes

Extendemos nuestro más profundo agradecimiento a todos los investigadores por sus contribuciones válidas a nuestro Programa de Divulgación Responsable.

Como muestra de nuestro aprecio, y a discreción nuestra y según la idoneidad del nivel de gravedad, realizaremos una donación a la organización benéfica de su elección dentro de la siguiente lista:

• Macmillan Cancer Support
• Breast Cancer Now
• KidsOut
• National AIDS Trust

Siempre es un placer recibir mensajes de nuestros miembros. Si desea formular otras preguntas relacionadas con la seguridad, puede comunicarse con nuestro equipo de seguridad enviando un mensaje de correo electrónico a: security.enquiries@babylonhealth.com

Tenga en cuenta que cualquier información que usted reciba u obtenga sobre nosotros, nuestras empresas afiliadas, nuestros productos o servicios, o cualquiera de nuestros usuarios, empleados o agentes debe mantenerse en estricta confidencialidad y utilizarse únicamente en conexión con esta política. No utilice, divulgue ni distribuya información de esa clase, la cual abarca, sin restricciones, cualquier información relacionada con su divulgación de vulnerabilidad, sin recibir antes nuestra autorización por escrito.

Esta política ha sido elaborada en consonancia con las buenas prácticas habituales. No lo autoriza a actuar de ningún modo que sea incompatible con la ley o que induzca a Babylon a incumplir cualquiera de sus obligaciones legales, por ejemplo:

• La Ley de Copyright, Diseños y Patentes (Copyright, Designs and Patents Act) de 1988
• La Ley de Uso Informático Indebido (Computer Misuse Act) de 1990
• La Norma General de Protección de Datos 2016/679 (General Data Protection Regulation, GDPR) y la Ley de Protección de Datos (Data Protection Act) de 2018

En ningún momento deberá utilizar la existencia de una vulnerabilidad o error informático, o el acceso a información delicada o confidencial, de manera ilegal o de mala fe; por ejemplo, para realizar reclamos extorsivos, exigir el pago de rescates o cualquier otra medida similar.

Babylon se reserva todos los derechos legítimos en caso de producirse cualquier incumplimiento de estas políticas.