Legales
Avisos sobre productos y planes
Avisos sobre comunicaciones electrónicas
Se nos exige proporcionarle cierta información antes de que acepte recibir comunicaciones electrónicas.
Este aviso se aplica a todas las comunicaciones nuestras basadas en Internet, lo que incluye el correo electrónico, el sitio web y las aplicaciones móviles.
Las comunicaciones electrónicas incluyen, a título enunciativo, lo siguiente:
- Avisos regulatorios
- Documentos del plan
- Determinaciones o información de beneficios (p. ej.; explicación de beneficios, declaraciones de salud, cartas de reclamación)
Envío electrónico de comunicaciones
Al elegir el envío electrónico, usted recibirá todas las comunicaciones en forma electrónica en lugar de recibir una copia impresa.
Los tipos de comunicaciones disponibles en forma electrónica están sujetos a cambio, y si pasan a estar disponibles comunicaciones adicionales en un formato electrónico, usted las recibirá en forma electrónica. En ocasiones, además de las comunicaciones electrónicas, también puede recibir un documento impreso.
Su consentimiento permanecerá vigente hasta que lo retire. Puede retirar su consentimiento en cualquier momento y optar por recibir correos impresos restableciendo sus preferencias de correo postal y correo electrónico en Configuración de cuenta, en myuhc.com.
Además, tiene derecho a recibir una copia impresa gratuita de las comunicaciones que debemos proporcionarle. Para solicitar una copia impresa de una comunicación específica, llame al número de teléfono para miembros que figura en la tarjeta de identificación de su plan de salud.
Si intentamos enviar información a una dirección de correo electrónico que usted brindó y el mensaje no se puede entregar después de varios intentos, supondremos que ha retirado su consentimiento para la entrega electrónica y comenzaremos a enviarle la información en formato impreso. Para asegurarse de seguir recibiendo correos electrónicos de nuestra parte, agregue la dirección de correo electrónico "De" a su lista de contactos o de correo seguro. Para actualizar su dirección de correo electrónico, inicie sesión en myuhc.com y vaya a la página Cambiar preferencias de correo postal y electrónico en Configuración de cuenta.
Requisitos para acceder a información y conservarla
Con el fin de recibir y conservar comunicaciones electrónicas, debe tener acceso a una computadora u otro dispositivo que sea capaz de acceder a Internet y debe contar con software que le permita recibir archivos en Formato de Documento Portátil o "PDF", como Adobe Acrobat Reader® versión 6.0 o posterior (descargar Adobe Reader) y que le permita acceder a este tipo de archivos. Consulte la lista de navegadores compatibles.
Política de denuncia de vulnerabilidades
Introducción
UnitedHealth Group se toma en serio la protección de los datos de nuestros clientes y miembros. Estamos agradecidos por el trabajo de investigación sobre vulnerabilidades de seguridad que llevan a cabo investigadores de seguridad éticos y bien intencionados. Nos comprometemos a colaborar con la comunidad de seguridad de la información para investigar y resolver problemas de seguridad en nuestros sitios web, servicios en línea y aplicaciones móviles que nos informan, de acuerdo con esta Política de Denuncias de Vulnerabilidades. Si tiene información relacionada con posibles vulnerabilidades de seguridad de los productos o servicios de UnitedHealth Group, UnitedHealthcare u Optum, queremos escucharla.
Recompensas por errores
UnitedHealth Group no ofrece un programa de recompensas por errores ni otras recompensas por divulgaciones de seguridad. Sin embargo, valoramos los esfuerzos de los investigadores de seguridad que se toman el tiempo para investigar e informarnos sobre las vulnerabilidades de seguridad, de acuerdo con esta política.
Alcance
Este programa no es un medio para presentar quejas sobre los servicios o productos de UnitedHealth Group, UnitedHealthcare, Optum o sus subsidiarias (en adelante, "UnitedHealth Group"), ni para consultas sobre la disponibilidad de los sitios web o servicios en línea de la compañía.
Los siguientes tipos de vulnerabilidades se consideran fuera del alcance para los fines de este programa:
- Vulnerabilidades volumétricas (p. ej., denegación de servicio o DoS distribuido).
- Denuncias de vulnerabilidades no explotables y violaciones de las "mejores prácticas" (p. ej., encabezados de seguridad faltantes).
- Deficiencias en la configuración de la seguridad de la capa de transporte (TLS, por sus siglas en inglés) (p. ej., asistencia para paquetes de cifrado "deficiente").
- Toma de huellas dactilares y divulgación de pancartas en servicios comunes y públicos.
- Secuencias de comandos entre sitios (XSS, por sus siglas en inglés).
- Divulgación interna de la IP.
- Falsificación de solicitudes entre sitios (CSRF, por sus siglas en inglés).
- Métodos HTTP no explotables (p. ej., OPTIONS o HEAD).
- Mensajes de error con datos no confidenciales.
- Falta de indicadores seguros o solo HTTP en cookies que no son de sesión.
UnitedHealth Group puede actualizar esta política en cualquier momento, incluso realizando cambios en la lista de vulnerabilidades fuera de alcance.
Denuncia de una vulnerabilidad
Si descubre un problema que cree que es una vulnerabilidad dentro del alcance, envíe un correo electrónico a securityreporting@optum.com. Incluya lo siguiente, según corresponda:
- Una descripción detallada de la vulnerabilidad.
- URL completas asociadas con la vulnerabilidad.
- Una prueba de concepto (POC, por sus siglas en inglés) o instrucciones (p. ej., capturas de pantalla, videos, etc.) sobre cómo reproducir la vulnerabilidad o los pasos que se deben realizar para explotar la vulnerabilidad.
- Campos de entrada, filtros u otros objetos de entrada involucrados.
- Su evaluación de riesgo o evaluación de exportabilidad.
- Instrucciones sobre cómo comunicarnos con usted para hacerle preguntas de seguimiento.
Se recomienda ofrecer una solución, pero no es obligatorio para denunciar una vulnerabilidad. La falta de una explicación detallada de la vulnerabilidad puede provocar retrasos en nuestra respuesta y posibles acciones posteriores sobre el hallazgo.
Orientación
Esta política prohíbe la realización de las siguientes actividades:
- Piratería, pruebas de penetración u otros intentos de obtener acceso no autorizado al software o a los sistemas de UnitedHealth Group.
- Escaneo o prueba de vulnerabilidad activa.
- Divulgación o uso de cualquier información o datos privados o confidenciales de UnitedHealth Group, incluidos los datos de los clientes.
- Impacto negativo en el funcionamiento del software o los sistemas de UnitedHealth Group.
Los investigadores de seguridad no deben infringir ninguna ley ni acceder a los datos de UnitedHealth Group, usarlos, alterarlos o comprometerlos de ninguna manera.
Si tiene alguna pregunta sobre esta política o la orientación anterior, comuníquese con nuestro equipo de seguridad para obtener más información: securityreporting@optum.com.
Qué esperar
Al recibir la denuncia de vulnerabilidad, UnitedHealth Group o uno de sus representantes puede enviar una respuesta automática como acuse de recibo. UnitedHealth Group podrá comunicarse con los denunciantes si se necesita información adicional que ayude con una investigación de seguimiento. Para seguridad de nuestros clientes, UnitedHealth Group no divulgará, discutirá ni confirmará sus problemas de seguridad.
Notificación pública
Para proteger a nuestros clientes, UnitedHealth Group solicita que los investigadores de seguridad no publiquen ni compartan ninguna información sobre una posible vulnerabilidad en ningún entorno público hasta que hayamos investigado, respondido y abordado la vulnerabilidad denunciada y les hayamos informado a los clientes y a las partes interesadas, según sea necesario. El plazo para abordar la vulnerabilidad denunciada válida varía, según el impacto de la posible vulnerabilidad y los sistemas afectados.
Definiciones de la política
Vulnerabilidad: debilidad en el diseño, la implementación, la operación o el control interno de un proceso que podría exponer el sistema a amenazas adversas provenientes de eventos peligrosos.
Denegación de servicio (DoS, por sus siglas en inglés): ataque a un servicio desde una única fuente que lo desborda con tantas solicitudes que se ve abrumado y se detiene por completo o funciona a un ritmo significativamente reducido.
Denegación de servicio distribuido (DDoS, por sus siglas en inglés): ataque a un servicio desde varios sistemas informáticos comprometidos que lo desbordan con tantas solicitudes que se ve abrumado y se detiene por completo o funciona a un ritmo significativamente reducido; en consecuencia, se deniega el servicio a usuarios o sistemas legítimos.
Seguridad de la capa de transporte (TLS, por sus siglas en inglés): protocolo que proporciona privacidad en las comunicaciones a través de Internet. El protocolo permite que las aplicaciones cliente/servidor se comuniquen de modo tal que se eviten la escucha, la manipulación o la falsificación de los mensajes.
Secuencias de comandos entre sitios (XCSS, por sus siglas en inglés): ataque de ingeniería social para obtener el control de las cuentas web de una víctima a través de esta que, sin saberlo, ejecuta código malicioso en su propio navegador web.
Falsificación de solicitudes entre sitios (CSRF, por sus siglas en inglés): tipo de explotación maliciosa de un sitio web donde se transmiten comandos no autorizados de un usuario en el que el sitio web confía. También se conoce como "ataque de un clic" o "secuestro de sesión".
Fecha de entrada en vigor
La fecha de entrada en vigencia de esta Política es el 20 de enero de 2023.