Política de divulgación de vulnerabilidades

Mantener la seguridad, la privacidad y la integridad de nuestros productos es una prioridad absoluta en Maven Clinic. Por lo tanto, en Maven Clinic valoramos el trabajo de los investigadores para mejorar nuestra seguridad y privacidad. Nos comprometemos a crear un entorno seguro y transparente para reportar vulnerabilidades.
Español
Si cree haber encontrado una vulnerabilidad de seguridad o privacidad que podría afectar a Maven Clinic o a nuestros usuarios, le recomendamos que la reporte de inmediato. Investigaremos todos los informes legítimos y solucionaremos el problema lo antes posible. Esta política describe las consideraciones y los compromisos para la divulgación responsable de posibles vulnerabilidades de seguridad a Maven Clinic.

Objetivo

El objetivo principal de nuestra política de divulgación de vulnerabilidades es garantizar que las vulnerabilidades se solucionen o se corrijan oportunamente con el fin de proteger la información de nuestros clientes y usuarios. Esta política ofrece directrices claras para informar sobre vulnerabilidades de seguridad potencialmente desconocidas o perjudiciales.

Investigadores de seguridad

Maven Clinic reconoce las contribuciones positivas de los investigadores de seguridad y fomenta la divulgación responsable y directa de posibles vulnerabilidades de seguridad. Aceptamos informes de vulnerabilidades de todas las fuentes.

Nuestros compromisos con los investigadores

  • Mantendremos la confidencialidad estándar en nuestras comunicaciones con usted.
  • Trabajaremos con usted para validar y responder a su divulgación.
  • Investigaremos y haremos todos los esfuerzos razonables para remediar los problemas validados de una manera coherente con la protección de la seguridad de aquellos potencialmente afectados por una vulnerabilidad informada.
  • Maven Clinic se reserva todos sus derechos legales en caso de incumplimiento de esta Política, pero no tiene la intención de emprender acciones legales contra ninguna de las partes que realice investigaciones de seguridad y nos divulgue información de buena fe y como se describe en esta Política.

Lo que pedimos a los investigadores

  • Le solicitamos que comunique la información sobre posibles vulnerabilidades de seguridad de forma responsable. Esto implica cumplir con todas las leyes aplicables y respetar la privacidad de las personas. Su investigación de seguridad también debe evitar la degradación de la experiencia de nuestros usuarios, la interrupción de los sistemas y la destrucción de datos.
  • Solicitamos que los investigadores proporcionen suficientes detalles técnicos y antecedentes necesarios para que nuestro equipo pueda identificar y validar los problemas informados.
  • Solicitamos que los investigadores actúen por el bien común, protegiendo la privacidad y la seguridad de los usuarios absteniéndose de revelar públicamente las vulnerabilidades.

Alcance

Esta política se aplica a los siguientes sistemas y servicios:

  • mavenclinic.com y los siguientes nombres de host:

    • www.mavenclinic.com
    • Cualquier otro subdominio de mavenclinic.com y todas las aplicaciones de clientes están excluidos de esta política.

  • mavenpractitioners.com y los siguientes nombres de host:

    • www.mavenpractitioners.com
    • Cualquier otro subdominio de mavenclinic.com y todas las aplicaciones de clientes están excluidos de esta política.
  • Aplicaciones móviles para iOS y Android

Cualquier servicio no mencionado expresamente anteriormente, como los servicios conectados, queda excluido del alcance y no está autorizado para pruebas. Además, las vulnerabilidades detectadas en los sistemas de nuestros proveedores quedan fuera del alcance de esta política y deben notificarse directamente al proveedor, de acuerdo con su política de divulgación (si la hubiera). Si no está seguro de si un sistema está dentro del alcance, póngase en contacto con nosotros. seguridad@mavenclinic.com Antes de comenzar su investigación.
Español
Las siguientes actividades están explícitamente fuera del alcance de esta política.

  • Comprometer la integridad, disponibilidad o confidencialidad de la información no pública en posesión de Maven Clinic.
  • No eliminar o destruir de inmediato información confidencial o datos personales a los que pueda acceder inadvertidamente.
  • Revelar públicamente cualquier vulnerabilidad potencial sin el consentimiento expreso por escrito de Maven Clinic.
  • Provocar intencional o negligentemente una condición de denegación de servicio para cualquier usuario que no sea el investigador.
  • Explotación de cualquier vulnerabilidad que permita el envío masivo de mensajes no solicitados o no autorizados (spam).
  • Publicar, transmitir, cargar o vincular malware, virus o software dañino similar que pueda afectar nuestros servicios, productos o clientes o cualquier otro tercero.
  • Probar sitios web, aplicaciones o servicios de terceros que se integren con nuestros servicios o productos.
  • Realizar ingeniería social (incluido phishing) contra empleados, contratistas, clientes o cualquier otra parte de Maven Clinic.

Solicitamos a los investigadores que se pongan en contacto con nosotros antes de realizar cualquier investigación que pueda ser incompatible con esta política o no estar contemplada en ella. En caso de duda, consúltenos antes de realizar cualquier acción específica que considere que pueda ir más allá de los límites de esta política.

Informar sobre posibles vulnerabilidades de seguridad

Si cree haber descubierto una posible vulnerabilidad de seguridad en cualquier activo digital propiedad de, operado o mantenido por Maven Clinic, o una circunstancia que pudiera afectar razonablemente la seguridad de nuestra empresa o de nuestros usuarios, le animamos a que nos lo comunique. Puede informarnos sobre posibles vulnerabilidades de seguridad enviando un correo electrónico a seguridad@mavenclinic.com Usando nuestra clave PGP opcional a continuación. Proporcione toda la información conocida sobre la presunta vulnerabilidad de seguridad que reporta.

Al enviarlo, acusaremos recibo de cada informe de vulnerabilidad, realizaremos una investigación exhaustiva y luego tomaremos las medidas apropiadas para su resolución, si las hubiera.
Español
Si bien ningún tipo de vulnerabilidad está explícitamente fuera del alcance de esta política, se solicita a los investigadores que consideren el escenario de ataque y la explotabilidad asociada con cualquier posible vulnerabilidad de seguridad presentada.

Clave GPG pública

Si desea cifrar sus comunicaciones con Maven Clinic, utilice nuestra clave PGP a continuación. Todos los correos electrónicos de seguridad de Maven Clinic se firmarán con esta clave.

Identificación de clave

F1F3AC55

Tipo de clave

RSA

Tamaño de la clave

4096

Huella dactilar

56D3 807F 2E7F ADBD 1303 9EB1 5E27 4E75 F1F3 AC55

ID de usuario

seguridad@mavenclinic.com

-----INICIO DEL BLOQUE DE CLAVE PÚBLICA PGP-----
mQINBGFyuAIBEADoSDhufr4A7RyOHmKRExRh+52zxRtAPoPtytZcvm8ZjVODG4Nq 9ZRQetpR3j4dn4ZJbWYW2z9cfUx3PBoUTX6sW2NF43aOB9SDop4/m2omjoHMPpEp iDehvEOVxaLCzLnQ1xaBdmG44ij7GDGQpJIvRR8COzoxDX+nfa40efdMYFsjlaKJ 8MQoYUE6Z+CEOuHuCz5OFV+oqDF0u3sfiIIuF6m/glg9YWFPxYbpzB+xPq04EPwu 7daG+4eVoy/48cFMX83g3J9xI3/2ZUWv+iJSyTrxaoyVY8MmoUgSrY1PTdE9ykNF nBepG9+/eHeu72ES6lT+d3ueCNNUKb9noHl9Irxr+jF4Do1d5t5fW+ZBKgFQlBPd a0rmpmGD9+dW10tOppQMyuRDQiDXZiyZwTpae5H2b9c+BvuLrtJxFGGMCfqLOLWD rZ+5UglbJ9p+VWWefijtSMEDJl8uUe8UQtPAPlUlVXqo3rhBGPjI+jCSpbhvRWWY TIlLUeixdryS9h6aAl8GWe644hNdeepofY7yRDOXutAXTcT5sB96FCuxeZgKZMvV bvfdbezRfM+NF6R3iPjtYRodSLpCcZAvX0rT6bgS45GVlfADBVztJn5RtidfmtMi C0zJMUsISZhivMmgYoTFeog1uvaLhnW8cFuwx6O+mXM3y8g6oFYAuIa7zQARAQAB tDBNYXZlbiBDbGluaWMgU2VjdXJpdHkgPHNlY3VyaXR5QG1hdmVuY2xpbmljLmNv bT6JAlIEEwEIADwWIQRW04B/Ln+tvRMDnrFeJ0518fOsVQUCYXK4AgIbAwULCQgH AgMiAgEGFQoJCAsCBBYCAwECHgcCF4AACgkQXidOdfHzrFW9pw/+N0+0eaibYRB6 TWd6dVL0G7SUQrlWZMYQmjXoOspX/ObvvH7BQ5T/1dIZZ5iRw+pKTrzHpJFOpRxj u4LEQRZO0BFRfVb9VdwRVOaoBwGkT+eYwUYpvZRLpEfTWpOmObpTMmVJfS/v4fw6 JAgvs5G0UVXxrw1nXtAFZ4/ynYvJDbMoIU5cNqOgrP65v6gkcPJAdpQs0ZPkpC9r tltnYpe+4vTqn1Y2DuRmaGeysHncWwrRxJPyQiLS/bzGH26e3YIAQBg7E7iGjrfr 6ZGdCzwpBd2p4noX6WwWTyALdZdnri7La8nDYJzhaF0Q67BAxS5cLMgmGZKUbHFg Azn2YPIiX+2/M6FM/MLuJwGA8VR4sdD3t4JqjMbg67hoLTRJ+xQhh8iBOQ5VLI1S 4tEBMMHd+NJRp01dCKJJlc75Dl/XtjElfZoEPOjVVvTcZjVKkKBTb8buTRVQyOpa UVVjtUQ6cACxq6siyxYt0/3wlvmdUBOLOxbiVDtpSAM1vZ/wjtonK3Wl2VUWGfsq EeMrZjQxO+Ec4eBzeLcGLMJqh8xOvKKWymtLqzD3vLh4sGgclGcitWEq+jq6j4TH 45kLTHJDiWarvpg3PQaVUucnE3Hz8ZLRbAJvLJeAj4dD2d7pWBXfK/RlnxvS+oHI hMF4idZ7lqPBtEXNc5TwROyrUERFOfa5Ag0EYXK4AgEQAMQIMQsjK69rOC27odsE gERGDGR3wq/bT2rRkgyuC13MxFeW9GPJDWUiTMuOzRwtaSi4YiBXjQv6HKFU/SoO cmdiXFtYY4w9nPPI57/MbGiozrbdc5q0HhxkA9MHJ2iU3ND09Lwy0AjubFH3miwM 4IluuG5RR/Ve3Uss7APRfXcTjELpdorFBLTEU/TJVEUc5W5fvFzzDj/zP5xVHoSy JM2Ed2uK/gzZEnmdCCv8paiU6GZuukkrYIdp48+DOBIx83rHm4vgbMBvxdzgjyPq 6zEHsi4ca9uuHLGh2Z5NW1cdCSZkeVYVFhxe2Fxjzj/RDyuSb1LSzCddr4cW5GwD ZcLY6TxMztWBZzQxKarp2lFzsc0heoUuKxceYgyx8EOH8j7eSUW0wo9J9KFJH6LF 7qvxA0rnfBSezw/Ee6xUJEdM0QQB29+TmZ+/Lq/OoQTJFiYyDAVk6nb6tj/3wn7W MN9URWh9OGmrJmtIPUfK7ghVo+5M1RyZa/t8j78vkh29ZgVrmD+Y1Nluzt4w2vji dKKvQCTEcAYBulIrKe6KbCD6eI++iaAM/Hne3RnSo11GM28a9E+1HPr0K7lKN9ir jtAV3S6CzZq2uKD7cJOPv9+Cz+kcI7FS/VUc5Ri6cWcDn0ju49jUf7xQBxmWves0 wmJsk7igWilZyOV7BXmc5ZY9ABEBAAGJAjYEGAEIACAWIQRW04B/Ln+tvRMDnrFe J0518fOsVQUCYXK4AgIbDAAKCRBeJ0518fOsVYcTD/9ny9mgJWRGF1HuDJ2VeGEX sZGNGuW2prqgwq9J5jA6HMepmFYxq4ulbmQguUTKNn4z7v/XBLrZEUiWo8qmqOQK edxEtwrmAOw6Tvcq56/JKktKwP8jGjlpUQ4X6C2tj/gBFNIugBAzqzLMlbuTJqaK 1upeOlVsnSlHNJDGtbeURtf4S8xyrSYq//NIfeFNBq62ij8CN603BDPL3umOKnpq 7wjTcWbp/sFOaNxlXOc3qcjhrfHx0x7lQrmX/s1sSxdGMQWtL0+xHgOr5UELUAu3 bfl1Kf2dfYCRVltl5j0K1cl9FxwU5HOo0YSL835THauEE1uTnQHUrLZPVQdlKtdA bWeb+3R1X6MlTUCwjwEg0YEf3+fjmw/6ZNbL00G3tjKlte9HkMqGLi++L9OqWfwI pElt+qi6QfsQKsB/YkEKm0ZIQpFlJ1Or+U+jbLTY1rgU1vk7VD0LUVXf1L4kNHiP aIiFDJs39Y5rplDTymHhvSV2UndTfkL5k+E2vcxHJ1qRpeaH5ZQ2bDjSk2e8iRZL klPiSTKR+MQJr6HC9j2ixaWmkiSy/z9qq5ToZKPKDWx/s3I/SZLDNrBsvoNVaU0u dcHJeVDXJPktURJH3Pv1MlI/ee/xImbnMSgDhFLQAsLxValGJ2sy4CchocUUCwNu so/1+7vhqN/ZxbbBS+xqvA== =eurC
-----FIN DEL BLOQUE DE CLAVE PÚBLICA PGP-----

Historial de cambios del documento

Versión

Fecha

Descripción

1.0

1 de diciembre de 2021

Primera emisión