AMISALUD IPS

Portal de Salud Ocupacional

Politica de divulgacion responsable de vulnerabilidades

Si encuentras una vulnerabilidad de seguridad en este portal, te pedimos colaborar con nosotros para corregirla antes de hacerla publica.

Como reportar

Envia un correo a seguridadno-rp@amisalud.com.co con la descripcion de la vulnerabilidad, los pasos para reproducirla y, si aplica, una prueba de concepto. Te responderemos en un plazo razonable y trabajaremos en una correccion lo antes posible.

Lo que pedimos

• No accedas, modifiques o descargues datos de otros usuarios.
• No degrades el servicio (DoS, fuerza bruta masiva, scraping intensivo).
• Otorganos un plazo razonable (sugerimos 90 dias) antes de divulgar publicamente la vulnerabilidad.
• Realiza pruebas unicamente con tus propias cuentas o contra entornos de pruebas si los hay.
• Cumple las leyes colombianas aplicables, especialmente la Ley 1273 de 2009 sobre delitos informaticos.

Lo que ofrecemos

• Confirmacion de recepcion del reporte y comunicacion durante el proceso de correccion.
• Agradecimiento publico (con tu autorizacion previa) en una pagina de reconocimientos cuando esten habilitadas.
• Actualmente no ofrecemos recompensas monetarias (no tenemos programa de bug bounty formal).

Fuera de alcance

• Vulnerabilidades teoricas sin impacto practico.
• Configuraciones SPF/DKIM/DMARC de dominios distintos a portal.amisalud.com.co.
• Falta de cabeceras HTTP que no impacten la seguridad real (ej. X-XSS-Protection en navegadores modernos).
• Reportes generados unicamente por escaneres automaticos sin validacion manual.
• Ingenieria social hacia empleados o usuarios.
• Phishing o ataques al hosting/infraestructura del proveedor.

Contacto

Email: seguridadno-rp@amisalud.com.co
Politica oficial: /.well-known/security.txt (RFC 9116)