Saltar al contenido principal

Código de conducta de Salud-ISAC

Para proteger y promover el valioso intercambio de información como parte de la colaboración necesaria para permitir nuestra defensa mutua, Health-ISAC, Inc. (Health-ISAC) ha establecido este Código de Conducta para aclarar las expectativas de todos los miembros, empleados, funcionarios, directores, proveedores, contratistas, voluntarios, asistentes a eventos y sus invitados (colectivamente, "Participantes") de Health-ISAC. Los Participantes tienen la oportunidad única de interactuar y participar en los grupos de trabajo, talleres, cumbres, reuniones, actividades, programas y eventos de Health-ISAC (colectivamente "Eventos") y compartir información a través del canal de chat seguro, HTIP y otros foros de discusión. Para mantener un entorno en el que todos los Participantes puedan compartir información libremente y para garantizar la confidencialidad de la información recibida a través de Health-ISAC (a través de todos los medios), Health-ISAC creó este Código de Conducta.

Todos los participantes reconocen y aceptan respetar los siguientes principios:

1. Cumplimiento del Protocolo de Semáforo.
  1. Toda la información divulgada o presentada de otro modo para su informe, intercambio o análisis por cualquier Participante, incluida cualquier información procesada, compartida, almacenada, archivada o divulgada por un Participante o Health-ISAC en relación con los programas y servicios prestados por Health-ISAC (en conjunto, denominada “Información compartida”) se clasificará en el momento de la divulgación inicial por parte de la parte divulgadora (Participante o Health-ISAC) y, a partir de entonces, será recibida y manejada por otros Participantes y Health-ISAC estrictamente de acuerdo con su clasificación según el Protocolo de semáforo de Health-ISAC (“TLP”). El TLP se puede ver y descargar en https://www.heath-isac.org/landing-page/tlp/Cualquier información compartida enviada sin una designación TLP específica se considerará TLP AMBER.
  2. Toda la información compartida divulgada por un participante podrá ser utilizada por Health-ISAC de manera anónima y/o agregada para el beneficio de Health-ISAC y sus miembros de acuerdo con la clasificación TLP designada originalmente. No se incluirá la atribución a un participante en particular, excepto cuando el participante que la divulgue lo autorice específicamente.
  3. Cualquier Participante que reciba Información Compartida tendrá permitido usarla únicamente para sus propios fines de seguridad interna y será responsable de garantizar que la Información Compartida se difunda únicamente a su personal cuando sea necesario y estrictamente de conformidad con el Protocolo de Semáforo (“Destinatarios”). En caso de que un Participante haya contratado a un Proveedor de Servicios de Seguridad Gestionada (MSSP) u otros proveedores o soporte contratado (“Contratistas”) que recibirán Información Compartida en nombre de un Participante, el Participante reconoce que es responsable de garantizar que sus Contratistas comprendan el TLP, lo respeten y que bajo ninguna circunstancia se divulgue o utilice la Información Compartida para su propio beneficio o el de cualquier otro cliente. Los Participantes se asegurarán de que todos sus Destinatarios y Contratistas conozcan y comprendan el sistema de clasificación del TLP y de que se les haya proporcionado una copia del TLP.
  4. Los Participantes deberán proporcionar y mantener medidas, políticas y procedimientos físicos y cibernéticos adecuados y apropiados para (i) garantizar la seguridad y confidencialidad, y el manejo adecuado de la Información Compartida de acuerdo con su clasificación TLP, (ii) proteger contra cualquier amenaza o vulnerabilidad anticipada a la seguridad o integridad de dicha Información Compartida, (iii) proteger contra el acceso o uso no autorizado de dicha Información Compartida que viole su clasificación TLP y (iv) cuando sea posible, garantizar la eliminación completa, segura y permanente de dicha Información Compartida, excepto la Información de los Participantes compartida de acuerdo con la Sección 5(b), según lo indique el Participante o lo requiera la ley aplicable.
  5. El Participante deberá notificar de inmediato a Health-ISAC y al Participante que haya realizado la divulgación (en conjunto, la “Parte que realiza la divulgación”) si existe cualquier sospecha real o razonable de (a) acceso no autorizado o ilegal a, divulgación o difusión de, cualquier Información compartida en violación de su clasificación TLP, o (b) acceso no autorizado a cualquier instalación, hardware, red informática o sistema que contenga cualquier Información compartida (en conjunto, “Incidentes de seguridad”). Además de la notificación prevista anteriormente, cuando se haya producido un Incidente de seguridad, el Participante deberá tomar de inmediato todas las medidas necesarias para mitigar los daños causados ​​por el Incidente de seguridad.
  6. La lista de miembros de Health-ISAC, ya sea compilada en un directorio de miembros o de otra manera, es información confidencial y exclusiva de Health-ISAC, y debe tratarse en todo momento como TLP AMBER. No se permitirá la divulgación de la membresía de ninguna organización en Health-ISAC sin la aprobación previa por escrito de Health-ISAC y de dicho miembro.
  7. El Participante deberá cumplir con las clasificaciones de TLP y esta Sección 1 en todo momento y reconocer que cualquier falla en el manejo de la Información Compartida de acuerdo con las clasificaciones de TLP o esta Sección 1 puede resultar en la suspensión, terminación o revocación inmediata de las credenciales del Participante en cualquier Evento y una solicitud para abandonar el Evento inmediatamente.
2. Conducta honesta y ética.

El diálogo abierto y el intercambio de información y respuestas son fundamentales para el negocio de Health-ISAC y el éxito de nuestros Participantes. Los Participantes deben esforzarse por actuar de manera honesta, ética y justa tanto en las relaciones internas como externas, incluidas las interacciones con otros Participantes, Heath-ISAC y sus empleados y cualquier otro tercero con el que los Participantes o Health-ISAC puedan realizar negocios. Las declaraciones y la información compartidas entre los Participantes no deben violar las leyes antimonopolio y no deben ser despectivas, falsas, engañosas, confusas o fraudulentas. Los Participantes no deben aprovecharse injustamente de nadie mediante la manipulación, el ocultamiento, el abuso de información privilegiada, la tergiversación de hechos materiales o cualquier otra práctica comercial injusta.

3. Antimonopolio.

Los eventos de Health-ISAC, por su propia naturaleza, reúnen a competidores. En todos los eventos de Health-ISAC, se espera que los participantes actúen de conformidad con las leyes antimonopolio y de competencia aplicables, y eviten las discusiones sobre temas delicados que puedan generar inquietudes antimonopolio, como las discusiones sobre precios (incluidos elementos de precios como descuentos y condiciones de crédito). Las discusiones pueden ser tanto verbales como escritas, incluidas las publicaciones en las redes sociales o en las salas de chat. Los participantes en los eventos de Health-ISAC deben recordar la importancia de evitar no solo las actividades ilegales, sino incluso la apariencia de actividad ilegal.

4. Propiedad intelectual
  1. Los Participantes no deberán usar, divulgar, transmitir, almacenar, divulgar o inducir la divulgación de la propiedad intelectual de Health-ISAC o de cualquier otro Participante, excepto en relación con un Evento de Health-ISAC y estrictamente de acuerdo con las TLP.
  2. De conformidad con la Ley de Derechos de Autor del Milenio Digital (“DMCA”) y otras leyes aplicables, Health-ISAC ha adoptado una política de cancelación de la membresía o participación en los eventos de Health-ISAC, en circunstancias apropiadas, de los participantes que infrinjan los derechos de propiedad intelectual de terceros. Las infracciones de propiedad intelectual conocidas o sospechadas pueden denunciarse aquí:
    ATENCIÓN: Infracción de DMCA/IPR
    Salud-ISAC, Inc.
    12249 Science Drive, Suite 370
    Orlando, Florida 32826
    o por correo electrónico a: soporte@h-isac.org
    con una línea de asunto que diga Infracción DMCA/IPR
5. Acciones prohibidas durante los eventos de Salud-ISAC

Health-ISAC se compromete a proporcionar un entorno seguro, productivo y acogedor para todos los participantes en todos los eventos de Health-ISAC, ya sea que asistan de forma virtual o presencial. Health-ISAC se dedica a brindar una experiencia de evento libre de acoso para todos, independientemente del género, la identidad y expresión de género, la edad, la orientación sexual, la discapacidad, la apariencia física, el tamaño corporal, la raza, la etnia, la religión o las opciones tecnológicas. No toleramos el acoso en ninguna forma. Los participantes del evento que infrinjan esta política pueden ser expulsados ​​sin reembolso del evento y de eventos futuros, a discreción de Health-ISAC. Los participantes no pueden participar en las siguientes acciones durante o en relación con cualquier evento de Health-ISAC:

a. COMPARTICIÓN DE CUENTAS
Compartir o participar en el intercambio de credenciales de cuenta de Health-ISAC con cualquier persona o entidad que no sea el titular de la cuenta.

b. NO SE REALIZA ACTIVIDADES DE MARKETING
Comercialización de productos o servicios y/o solicitudes de cualquier tipo, fuera de la actividad de patrocinio aprobada oficialmente. Las presentaciones, publicaciones y mensajes no deben contener materiales promocionales, ofertas especiales, ofertas de trabajo, anuncios de productos ni solicitudes de servicios. Health-ISAC se reserva el derecho de eliminar dichos mensajes y potencialmente prohibir las fuentes de esas solicitudes.

c. USO DE COMENTARIOS ACOSADORES O DIFAMATORIOS o LENGUAJE INAPROPIADO u OFENSIVO
Promover o participar en lenguaje o comportamiento obsceno, vulgar o profesionalmente inapropiado. Acosar o difamar a cualquier persona, o promover, compartir o exhibir cualquier material o símbolo que contenga o aluda al odio racial/étnico, o que involucre contenido de naturaleza sexual, pornográfica o violenta, o que haga referencia a la orientación sexual o discapacidad de cualquier otra persona. Esto incluye el abuso verbal de cualquier asistente, orador, voluntario, expositor, miembro del personal de Health-ISAC, proveedor de servicios u otro invitado a la reunión. Los ejemplos de abuso verbal incluyen, entre otros, comentarios verbales relacionados con el género, la orientación sexual, la discapacidad, la apariencia física, el tamaño corporal, la raza, la religión, el origen nacional, el uso inapropiado de desnudez y/o imágenes sexuales en espacios públicos o en presentaciones, o amenazar o acechar a cualquier asistente, orador, voluntario, expositor, miembro del personal de Health-ISAC, proveedor de servicios u otro invitado a la reunión. Esta política se aplica por igual a la actividad en línea y las referencias tanto en lenguaje claro como enmascarado y/o enlaces a sitios web que contengan dicho lenguaje o imágenes del mismo.

d. AMENAZAS Y PERTURBACIONES
Amenazar a cualquier persona con causarle daño físico o inducir a otros a hacerlo, ya sea con lenguaje claro o enmascarado, incluyendo actividades en línea y referencias o enlaces a sitios web que contengan dicho lenguaje o imágenes. Interrumpir las presentaciones durante las sesiones, en la sala de exposiciones, en línea o en otros eventos organizados por Health-ISAC. Todos los participantes deben cumplir con las instrucciones del moderador y de cualquier miembro del personal del evento de Health-ISAC.

e. PUBLICACIÓN EN LÍNEA DE PROGRAMAS MALICIOSOS
(i) Publicar programas maliciosos, ya sea con la intención de comprometer o no la confidencialidad, integridad o disponibilidad de Health-ISAC, de cualquier Participante o persona o la información perteneciente a dichas personas; o (ii) el incumplimiento reiterado de cualquier protocolo de intercambio de Health-ISAC.

f. DISTRIBUCIÓN DE INFORMACIÓN PERSONAL
Divulgación o propagación no autorizada de información personal de cualquier Participante. Esto incluye lenguaje y/o enlaces a sitios web que contengan dicho lenguaje, imágenes o contenido.

g. DROGAS
Hacer referencia directa o indirecta a la venta, distribución o consumo personal de drogas o estupefacientes ilegales.

h. MENORES
Sin permiso expreso, permitir o procurar la participación en cualquier foro, conferencia u otra oferta a cualquier persona menor de 18 años.

i. OTRAS ACTIVIDADES ILEGALES
Participar en cualquier otra actividad ilegal no específicamente descrita anteriormente que, a criterio exclusivo de Health-ISAC, se considere perjudicial para sí misma, para los miembros de cualquier otro ISAC o para una infraestructura crítica.

j. VESTIMENTA
La vestimenta adecuada es la informal de negocios. Se espera que los presentadores de eventos usen ropa apropiada, que incluya vestimenta informal de negocios (camisa con cuello, pantalones y vestido) y que estén bien arreglados de manera respetuosa.

k. FOTOGRAFÍA
Los participantes no deben fotografiar, copiar o tomar capturas de pantalla de presentaciones, preguntas y respuestas o cualquier actividad de sala de chat que tenga lugar en el Evento.

6. Denuncia de infracciones

Si algún Participante sufre acoso o es testigo de cualquier incidente de comportamiento inaceptable, el Participante debe informar a un miembro del personal de Health-ISAC o al Departamento de Recursos Humanos de Health-ISAC al Recursos humanos@h-isac.org para que podamos tomar las medidas adecuadas de inmediato. De lo contrario, las violaciones de este Código de conducta deben notificarse a soporte@h-isac.orgPara que las infracciones se resuelvan con prontitud, cualquier informe debe incluir los siguientes detalles:

  1. La fecha y hora del evento.
  2. Todas las partes involucradas
  3. El delito conocido o sospechado
  4. Información de contacto para disposición y preguntas de seguimiento (los informes anónimos seguirán siendo investigados).
7. Remedios

Health-ISAC considera que una violación de este Código de conducta es un asunto grave. Cualquier violación puede someter a cualquier Miembro a una acción disciplinaria. Los incidentes se evaluarán caso por caso y pueden resultar en la eliminación inmediata del Evento sin previo aviso o reembolso, suspensión o prohibición permanente de todos y cada uno de los Eventos de Health-ISAC, terminación de la Membresía, informe a la gerencia de la empresa en el empleador del infractor y/o derivación a la policía. En el caso de que el comportamiento inapropiado se manifieste en un Evento en persona, el personal de Health-ISAC en el lugar está dispuesto a ayudar a cualquier Participante a comunicarse con la seguridad del hotel o la policía local. Health-ISAC se reserva el derecho de restringir la participación de cualquier Participante u otros asistentes al Evento que no respeten y respeten completamente este Código de conducta.

8. Obligaciones de los miembros

Los miembros serán responsables de garantizar que todos sus empleados, agentes y representantes autorizados que actúen en su nombre hayan sido informados y hayan tenido la oportunidad de revisar este Código de conducta y cualquier actualización del mismo.

9. Confianza en la información compartida

Los participantes acuerdan que la función definitoria de Health-ISAC es compartir información e inteligencia sobre amenazas cibernéticas y físicas al sector de la salud con el fin de promover una disuasión y gestión de amenazas cada vez más efectivas y acuerdan que Health-ISAC no tendrá ninguna responsabilidad por ningún resultado resultante de la aplicación de la información compartida entre participantes, afiliados y/o asistentes al evento.

10. Modificación

Health-ISAC podrá modificar este Código de conducta en cualquier momento. Cualquier modificación de este tipo aparecerá en el sitio web y Health-ISAC notificará cualquier cambio sustancial a los miembros de Health-ISAC.

Última actualización: febrero de 2025