¿Identificaste alguna mejora en nuestros sistemas?

Si encontraste algún problema o debilidad en nuestros canales, podés compartirlo con nuestro equipo experto en seguridad.

En OCA nos cuidamos entre todos

Mantenemos un canal para la notificación responsable de vulnerabilidades y mejoras, para animar a los investigadores de seguridad a informarnos sobre posibles problemas y mejoras en nuestros sistemas. En OCA, la seguridad es prioridad.

¿Sos investigador de seguridad y descubriste vulnerabilidades en nuestros sistemas?

Entonces nos gustaría contar con tu ayuda para corregirlas.

La privacidad, la protección de datos y la seguridad de la información son prioridades para OCA. Invertimos mucho en las mejores tecnologías y adoptamos las prácticas más rigurosas del mercado para garantizar la seguridad, así como la protección de la privacidad y los datos de nuestros clientes.

Diariamente, nuestros especialistas optimizan sistemas y procesos, lo que no significa que nuestros sistemas estén libres de todas las vulnerabilidades posibles.

Por eso OCA permite que los investigadores de seguridad se comuniquen con nosotros para la divulgación responsable de las posibles vulnerabilidades identificadas en nuestras aplicaciones, sistemas y/o activos.

Conocé cómo realizar una divulgación responsable

Los investigadores de seguridad pueden revelar potenciales vulnerabilidades en nuestros sistemas/aplicaciones siguiendo las siguientes pautas:

No realizar ninguna actividad que pueda causar daño a OCA, a nuestros clientes o a nuestros empleados.

No realizar ninguna actividad que pueda detener y/o impactar las aplicaciones, servicios o activos de OCA.

No realizar ninguna actividad que pueda violar cualquier Ley o reglamentación, así como lineamientos, ordenanzas u otras manifestaciones de las Autoridades Reguladoras.

No usar herramientas de escaneo automático.

No actuar de mala fe buscando realizar solicitudes de rescate de datos (secuestro de datos).

No realizar ataques de fuerza bruta, eliminar servicios o comprometer cuentas.

No almacenar, compartir, comprometer o destruir cualquier dato de OCA o de cualquiera de sus clientes.

Si se encuentra alguna información de identificación personal, deberás detener inmediatamente las actividades, eliminar los datos de tu sistema y comunicarte de inmediato con OCA por correo electrónico a: abuse@oca.com.uy.

No iniciar ninguna transacción financiera indebida.

No solicitar ningún tipo de recompensa por descubrir la potencial vulnerabilidad.

Importante: Al someterte a las reglas del programa, aceptás NO DIVULGAR (y/o DISCUTIR) públicamente tus hallazgos o el contenido de su envío a terceros, de ninguna manera, sin el CONSENTIMIENTO EXPRESO de OCA S.A.

Reportar

La comunicación de la mejora debe hacerse exclusivamente a la dirección de correo electrónico abuse@oca.com.uy. Una vez compartida la vulnerabilidad, OCA se compromete a responder dentro de los dos (2) días hábiles siguientes a la recepción del informe, manteniéndote informado sobre el manejo de la(s) vulnerabilidad(es) en evaluación.

Queremos obtener la mayor cantidad de información posible del informador de vulnerabilidades para que podamos validar e implementar rápidamente cualquier mejora potencial.

No incluir toda la información de esta lista podría retrasar o impedir que validemos y corrijamos la vulnerabilidad. Las respuestas a preguntas de baja relevancia y/o informativas no tendrán prioridad. Guardá todos tus registros, ya que te pediremos que los dejes a nuestra disposición.

Información que deberías proporcionar

Una descripción de la vulnerabilidad, incluida la explotabilidad y el impacto, si no es un tipo de ataque común.
Pasos requeridos para explotar la vulnerabilidad, incluyendo:
- la(s) URL(s)/aplicación(es) afectada(s);
- condiciones previas requeridas (por ejemplo: conectado, no conectado);
- cómo demostrar el problema.
IP utilizadas cuando se descubrió la vulnerabilidad.
Si es posterior a la autenticación, la ID de usuario utilizada cuando se descubrió la vulnerabilidad.
Una prueba del concepto.
Nombres de cualquier archivo subido a nuestros sistemas.

OCA más seguro

Agradecemos tu dedicación y colaboración si enviaste un reporte que nos ha ayudado significativamente a mantener a nuestros clientes cada vez más protegidos. Sin embargo, OCA no tiene un programa público de recompensas por reporte de errores, ni proporciona compensación monetaria ni ningún otro tipo de recompensa por las vulnerabilidades enviadas a través de este canal.

Confidencialidad

Al revelar vulnerabilidades de manera responsable, siguiendo las directrices aquí establecidas y siempre que no se verifique incompatibilidad entre las acciones del investigador de seguridad y la legislación local vigente, OCA se compromete a no emprender acciones legales y/u otras medidas aplicables contra el investigador. Si un tercero emprende acciones legales contra ti en relación con las actividades realizadas de acuerdo con esta política, tomaremos medidas para informar que tus acciones se llevaron a cabo de acuerdo con esta política.

Privacidad

Para mantenerte informado sobre el manejo de las vulnerabilidades reportadas, te solicitaremos tu información de contacto, como nombre y dirección de correo electrónico y, en algunos casos, número de teléfono. Si la vulnerabilidad se informa de forma anónima, lo respetaremos.

La información de contacto solo se utilizará para mantenerte informado sobre el proceso de divulgación de vulnerabilidades y no se compartirá con terceros sin tu permiso explícito.

Para proteger tu privacidad:

No compartiremos tu información de identificación personal (PII) con terceros.
No compartiremos tu encuesta sin permiso.

Vigente desde el 10 de diciembre de 2021. Podemos cambiar las reglas para la Divulgación responsable de Vulnerabilidades de vez en cuando, o podemos cancelar nuestro programa en cualquier momento.

Fuera de alcance

Ciertas vulnerabilidades se consideran fuera del alcance de nuestro Programa de Divulgación Responsable:

Prueba Física.
Ingeniería social (por ejemplo, intentos de robar cookies, páginas de inicio de sesión falsas para recopilar credenciales).
Phishing/suplantación de identidad.
Ataques de denegación de servicio.
Ataques de agotamiento de recursos.
Mensajes de error descriptivos (por ejemplo, Stack Traces, errores de aplicación o servidor).
Códigos/páginas HTTP 404 u otros códigos/páginas HTTP distintos de 200.
Difusión de banners en servicios comunes/públicos.
Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt).
Clickjacking y problemas que solo pueden explotarse mediante clickjacking.
CSRF en formularios que están disponibles para usuarios anónimos (por ejemplo, el formulario de contacto).
Presencia de la funcionalidad 'autocompletar' o 'guardar contraseña' del navegador web o la aplicación.

Falta de señalizadores de cookies seguras y HTTP Only.
Falta de Speedbump de seguridad al salir del sitio.
Omisión de Captcha/Captcha débil.
Enumeración de nombre de usuario a través de un mensaje de error en la página de inicio de sesión.
Enumeración de nombre de usuario a través del mensaje de error "Olvidé mi contraseña".
Forzado de página de inicio de sesión o contraseña olvidada y bloqueo de cuenta no aplicado.
Método OPTIONS / HTTP TRACE habilitado.
Ataques SSL como BEAST, BREACH, ataque de renegociación.
Secreto de reenvío de SSL no habilitado.
Conjuntos de cifrado SSL Insecure.
El encabezado Anti-MIME-Sniffing X-Content-Type-Options.
Encabezados de seguridad HTTP faltantes.

Este canal de denuncia no debe utilizarse para:

Comentarios sobre los servicios prestados por OCA.
Comentarios o preguntas sobre la accesibilidad de nuestros servicios.
Denuncias de fraude o posible fraude.
Informar problemas de cajeros automáticos (a menos que estén relacionados con la seguridad).
Reporte de virus y/o malware.

Importante: Algunos dominios pueden emplear redireccionamientos a otros dominios que no están dentro del alcance de nuestro programa. Verificá que tu prueba solo se ejecute dentro de los objetivos enumerados en esta página como parte del alcance.