Política de informes de vulnerabilidad

Introducción

Optum Services se toma en serio la protección de los datos de nuestros clientes y miembros. Agradecemos el trabajo de investigación sobre vulnerabilidades de seguridad que llevan a cabo los investigadores de seguridad con ética y buenas intenciones. Tenemos el compromiso de colaborar con la comunidad de seguridad de la información para investigar y resolver problemas de seguridad dentro de nuestros sitios web, servicios en línea y aplicaciones móviles que se nos informan de acuerdo con esta Política de informes de vulnerabilidad. Si usted tiene información relacionada con posibles vulnerabilidades de seguridad de los productos o servicios de Optum, queremos escucharle.

Alcance

Este programa no está destinado al envío de quejas sobre los servicios o productos de Optum o sus subsidiarias, ni para consultas sobre la disponibilidad de los sitios web o servicios en línea de la compañía.

Los siguientes tipos de vulnerabilidades están fuera del alcance para los fines de este programa:

  • vulnerabilidades volumétricas (por ejemplo, denegación de servicio o DoS distribuido); 
  • informes de vulnerabilidades no explotables y violaciones de las “mejores prácticas” (p. ej., encabezados de seguridad faltantes); 
  • debilidades de configuración de la TLS (seguridad de la capa de transporte) (p. ej., compatibilidad con conjuntos de cifrado “débiles”); 
  • fingerprinting/revelación mediante captura de banner en servicios comunes/públicos; 
  • XSS (secuencias de comandos entre sitios); 
  • divulgación de IP interna; 
  • CSRF (falsificación de solicitudes entre sitios); 
  • métodos HTTP no explotables (p. ej., OPTIONS o HEAD); 
  • mensajes de error con datos no confidenciales; y 
  • falta de indicadores seguros/solo HTTP en cookies que no son de sesión. 

Optum puede actualizar esta política en cualquier momento, incluida la lista anterior de vulnerabilidades fuera del alcance.

Informar una vulnerabilidad

Si ha descubierto un problema que cree que es una vulnerabilidad que se encuentra dentro de este alcance, envíe un correo electrónico a VulnerabilityReporting@optum.com. Incluya los datos a continuación, si corresponde: 

  • una descripción detallada de la vulnerabilidad; 
  • la URL completa; 
  • una POC (prueba de concepto) o instrucciones (p. ej., capturas de pantalla, videos, etc.) sobre cómo reproducir la vulnerabilidad o los pasos tomados para explotar la vulnerabilidad;   
  • campos de entrada, filtros u otros objetos involucrados; 
  • evaluación de riesgos o exportabilidad; 
  • instrucciones sobre cómo comunicarnos con usted si tenemos preguntas de seguimiento. 

Se recomienda ofrecer una solución, pero no es obligatorio. La falta de una explicación detallada de la vulnerabilidad puede provocar demoras en nuestra respuesta y posibles acciones posteriores sobre el hallazgo. 

Recompensas por encontrar errores

Actualmente, Optum no ofrece un programa de recompensas por encontrar errores. Sin embargo, agradecemos los esfuerzos de los investigadores de seguridad que se toman el tiempo de investigar e informarnos sobre las vulnerabilidades de seguridad de acuerdo con esta política. 

Qué esperar

Al recibir el informe de vulnerabilidad, Optum o uno de sus representantes puede enviar una respuesta automática como acuse de recibo. Optum puede comunicarse con los informantes si se necesita información adicional para colaborar con la investigación. Para la seguridad de nuestros clientes, Optum no divulgará, analizará ni confirmará problemas de seguridad. 

Notificación pública

Para proteger a nuestros clientes, Optum solicita que los investigadores de seguridad no publiquen ni compartan ninguna información sobre una vulnerabilidad potencial en ningún entorno público hasta que hayamos investigado, respondido y abordado la vulnerabilidad informada, e informado a los clientes y partes interesadas según sea necesario. El tiempo para abordar una vulnerabilidad válida informada variará según el impacto de la vulnerabilidad potencial y los sistemas afectados. 

Pautas

Esta política prohíbe la realización de las siguientes actividades: 

  • hackear, penetrar o intentar obtener acceso no autorizado al software o los sistemas de Optum;
  • realizar escaneo o pruebas activas de vulnerabilidades; 
  • divulgar o usar cualquier información o datos privados o confidenciales de Optum, incluidos los datos de los clientes; o 
  • afectar negativamente el funcionamiento del software o los sistemas de Optum.

Los investigadores de seguridad no deben infringir ninguna ley ni acceder, usar, alterar o comprometer de manera alguna los datos de Optum.

Si tiene alguna pregunta sobre esta política o las pautas anteriores, comuníquese con nuestro equipo de seguridad para obtener orientación: VulnerabilityReporting@optum.com

Definiciones de la política

Vulnerabilidad: Una debilidad en el diseño, la implementación, la operación o el control interno de un proceso que podría exponer el sistema a amenazas adversas provenientes de eventos de amenaza.

DoS (denegación de servicio): Un ataque a un servicio desde una única fuente que lo desborda con tantas solicitudes que lo abruman y se detiene por completo, o funciona a una velocidad significativamente reducida.

DDoS (denegación de servicio distribuido): Un ataque a un servicio desde múltiples sistemas informáticos comprometidos que lo desbordan con tantas solicitudes que lo abruman y se detiene por completo, o funciona a una velocidad significativamente reducida, denegando así el servicio a usuarios o sistemas legítimos.

TLS (seguridad de la capa de transporte): Un protocolo que proporciona privacidad en las comunicaciones a través de Internet. El protocolo permite que las aplicaciones cliente/servidor se comuniquen de una manera diseñada para evitar escuchas, alteraciones o falsificación de mensajes.

XCSS (secuencias de comandos entre sitios): Un ataque de ingeniería social para obtener el control de las cuentas web de una víctima cuando la víctima, sin saberlo, ejecuta código malicioso en su propio navegador web.

CSRF (falsificación de solicitudes entre sitios): Un tipo de explotación maliciosa de un sitio web donde se transmiten comandos no autorizados desde un usuario en el que el sitio web confía. Esto también se conoce como “ataque de un solo clic” o “secuestro de sesión”.

Fecha de entrada en vigor

La fecha de entrada en vigor de esta política es el 1 de abril de 2019. 

Pregúntele a nuestro equipo de asistencia

¿Tiene alguna pregunta? Estamos aquí para ayudar.

Contacto

Optum Rx en cualquier lugar

Disponible en iOS y Android

Descargar desde la App Storeapple storeObtener en Google Playgoogle play

Recursos para miembros

Encuentre recursos que le ayudarán a manejar su cuenta de Optum Rx.

Más información

Logotipo de farmacia digital acreditada por la NABPLogotipo de Comodo secureDesignación Mail Service Pharmacy Opioid Stewardship de URAC 11012026 Pharmacy Benefit Management de URAC 01012028Logotipo del sello Utilization Management del NCQA

© 2026 Optum Inc. All rights reserved