Introducción
El Centro Nacional de Ciberseguridad se compromete a garantizar la seguridad del ciberespacio de la República Dominicana mediante la protección de la información y el tratamiento oportuno de las vulnerabilidades en los sistemas de las instituciones de la Administración Pública. Esta política tiene como objetivo brindar a los investigadores de seguridad cibernética pautas claras para realizar actividades de descubrimiento de vulnerabilidades y establecer los canales y medios para reportar las vulnerabilidades descubiertas al Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD).
Esta política describe qué sistemas y métodos de investigación están cubiertos por esta política, cómo enviar informes de vulnerabilidad y cuánto tiempo les pedimos a los investigadores de seguridad que esperen antes de divulgar públicamente las vulnerabilidades.
Lo alentamos a que se comunique con el Centro Nacional de Ciberseguridad para informar posibles vulnerabilidades en nuestros sistemas.
Autorización
De ser realizada dentro de la buena fe para cumplir con esta política durante la investigación de seguridad, consideraremos que la investigación está autorizada, trabajaremos con el investigador para comprender y resolver el problema rápidamente, y el Centro Nacional de Ciberseguridad no recomendará ni emprenderá acciones legales relacionadas con su investigación. En caso de que un tercero inicie una acción legal contra usted por actividades realizadas de acuerdo con esta política, daremos a conocer esta autorización.
Pautas
Según esta política, “investigación” significa actividades en las que el investigador:
- • Notifique al Centro Nacional de Ciberseguridad lo antes posible después de descubrir un problema de seguridad real o potencial.
- • Haga todo lo posible para evitar las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos.
- • Solo use métodos en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice herramientas de explotación para comprometer o filtrar datos, establecer el acceso a la línea de comandos y/o la persistencia, ni aprovechar la vulnerabilidad para pasar a otros sistemas.
- • No compromete intencionalmente la privacidad o la seguridad de los datos de la organización ni de terceros.
- • No compromete intencionalmente la propiedad intelectual u otros intereses comerciales o financieros de ningún personal o entidad de la organización, ni de ningún tercero.
- • Otorgue una cantidad de tiempo razonable para resolver el problema antes de divulgarlo públicamente.
- • No envíe un gran volumen de informes de baja calidad.
Alcance
Todos los sistemas y servicios asociados con los dominios *.gob.do, *gov.do están dentro del alcance. Asimismo, los subdominios de cada listado, a menos que se excluyan explícitamente, siempre están dentro del alcance. Además, cualquier sitio web publicado explícitamente con un enlace a esta política se considerará dentro del alcance. Las vulnerabilidades encontradas en sistemas del sector privado, sector financiero y sector militar y organismos castrenses quedan fuera del alcance de esta política y deben informarse directamente al CSIRT sectorial de acuerdo con su política de divulgación, si corresponde.
Si no está seguro de si un sistema o punto final está dentro del alcance o no, comuníquese con divulgacionresponsable@csirt.gob.do antes de comenzar su investigación o con el contacto de seguridad para el nombre de dominio del sistema que figura en .do WHOIS.
Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles por Internet, solicitamos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema que no está dentro del alcance y cree que merece ser probado, comuníquese con nosotros para consultarlo primero.
Reglas y condiciones
Los investigadores de seguridad NO deben:
- • Probar cualquier sistema que no sean los sistemas establecidos en la sección “Alcance” anterior,
- • divulgar información de vulnerabilidad excepto como se establece en las secciones ‘Informar de una vulnerabilidad’ y ‘Divulgación’ a continuación,
- • ejecutar o participar en pruebas físicas de instalaciones o recursos,
- • aplicar ingeniería social,
- • enviar correo electrónico no solicitado a los usuarios, incluidos mensajes de “phishing”,
- • ejecutar o intentar ejecutar ataques de “Denegación de servicio” o “Agotamiento de recursos”,
- • introducir o ejecutar código malicioso,
- • realizar pruebas que de alguna una manera podría degradar el funcionamiento de los sistemas o perjudicar, interrumpir o deshabilitar intencionalmente los sistemas,
- • probar aplicaciones, sitios web o servicios de terceros que se integren o se vinculen hacia o desde los sistemas de la Administración Pública,
- • eliminar, alterar, compartir, retener o destruir datos, o hacer que los datos sean inaccesibles, o
- • aprovechar una vulnerabilidad para filtrar datos, establecer acceso a la línea de comandos, establecer una presencia persistente en los sistemas o “pivotar” a otros sistemas.
Los investigadores de seguridad pueden:
Ver o almacenar datos no públicos solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad.
Los investigadores de seguridad deben:
- • dejar de probar y notificar inmediatamente sobre el descubrimiento de una vulnerabilidad una vez sea identificada,
- • suspender las pruebas y notificar de inmediato sobre el descubrimiento de una exposición de datos no públicos, y,
- • eliminar todos los datos no públicos almacenados al informar una vulnerabilidad.
Informar de una vulnerabilidad
Aceptamos informes de vulnerabilidad a través del correo electrónico seguridad@csirt.gob.do cifrado con PGP: https://cncs.gob.do/sobre-nosotros/rfc-2350-es/.
La información enviada bajo esta política se utilizará solo con fines defensivos, para mitigar o remediar vulnerabilidades. Si los hallazgos incluyen vulnerabilidades recientemente descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a las entidades de la Administración Pública, podemos compartir su informe con su CSIRT sectorial u organismo competente, donde se manejará bajo el proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre o información de contacto sin permiso expreso.
Al hacer clic en “Enviar informe”, usted indica que ha leído, comprende y acepta las pautas descritas en esta política para la realización de investigaciones de seguridad y la divulgación de vulnerabilidades o indicadores de vulnerabilidades relacionadas con los sistemas de información de entidades de la Administración Pública, y acepta tener el contenido de la comunicación y las comunicaciones de seguimiento almacenadas en un sistema de información del gobierno de la República Dominicana.
Para ayudarnos a clasificar y priorizar los envíos, recomendamos que sus informes:
- • Cumpla con todos los términos y condiciones legales descritos en Términos y Condiciones.
- • Describa la vulnerabilidad, dónde se descubrió y el impacto potencial de la explotación.
- • Ofrezca una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los comandos de prueba de concepto o las capturas de pantalla son útiles).
Divulgación
El Centro Nacional de Ciberseguridad está comprometido con la corrección oportuna de las vulnerabilidades. Sin embargo, reconocemos que la divulgación pública de una vulnerabilidad en ausencia de una acción correctiva fácilmente disponible probablemente aumente el riesgo en lugar de disminuirlo. En consecuencia, le solicitamos que se abstenga de compartir información sobre vulnerabilidades descubiertas durante 90 días calendario después de haber recibido nuestro acuse de recibo de su informe. Si cree que otros deben ser informados de la vulnerabilidad antes de nuestra implementación de acciones correctivas, le solicitamos que se coordine con anticipación con el CSIRT-RD del Centro Nacional de Ciberseguridad.
Podemos compartir informes de vulnerabilidad con los CSIRT sectoriales, así como con los proveedores afectados. No compartiremos los nombres ni los datos de contacto de los investigadores de seguridad a menos que se nos otorgue un permiso explícito.
Reconocimientos
Los reconocimientos del programa de política de divulgación de vulnerabilidades serán publicados próximamente en el portal.
Preguntas
Las preguntas relacionadas con esta política se pueden enviar a divulgacionresponsable@csirt.gob.do. También lo invitamos a contactarnos con sugerencias para mejorar esta política.