Política de seguridad

OnDeck está comprometida a resolver las vulnerabilidades de seguridad de forma rápida y prudente. Con el fin de proteger a nuestros usuarios y sus datos, solicitamos que se informe sobre vulnerabilidades de manera responsable y confidencial para que podamos investigar y responder según corresponda. No deben anunciarse las vulnerabilidades hasta que hayamos desarrollado e implementado una actualización.

 


 

Usos no permitidos del sitio web de OnDeck y tipos no permitidos de investigación de seguridad

  • Dañar intencionalmente la experiencia o la utilidad del servicio de los demás.
  • Causar, o intentar causar, una condición de denegación de servicio (DoS).
  • Acceder, o intentar acceder, a datos o información que no le pertenezcan.
  • Destruir o corromper, o intentar destruir o corromper, datos o información que no le pertenezcan.
     

Si está investigando problemas de seguridad, en especial los que puedan poner en peligro la privacidad de otros, hágalo con precaución, con el fin de respetar la privacidad de nuestros usuarios. Siempre que sea posible, realice todas las pruebas de vulnerabilidad contra las instancias de no producción de nuestros productos para minimizar el riesgo en cuanto a datos y servicios.

 

Cómo informar sobre una vulnerabilidad de seguridad

All security vulnerabilities are reviewed and tracked through our HackerOne bug submission program. This program is currently not public, but you may request access by emailing our security team at security@ondeck.com
Please allow up to 48 hours for your request to be received and your invite to be processed by OnDeck’s security team.

Proporcione detalles de las potenciales vulnerabilidades de manera que el equipo de seguridad de OnDeck pueda validar y reproducir el problema de forma rápida. Sin la información que se indica a continuación, puede ser difícil, si no imposible, abordar la potencial vulnerabilidad. No se tendrán en cuenta informes que enumeren varias potenciales vulnerabilidades sin mayores aclaraciones.

Los detalles deben incluir:

  • Tipo de vulnerabilidad.
  • Un escenario de ataque concreto. ¿De qué manera el problema afecta a OnDeck o a los usuarios y socios de OnDeck? ¿Qué es lo peor que podría suceder si un atacante aprovecha esta falla de seguridad?
  • Informar si los datos fueron publicados o compartidos con otras partes
  • Productos o versiones afectadas
  • Configuraciones afectadas
  • Instrucciones paso a paso o código de prueba de concepto para reproducir el problema.

 

Vulnerabilidades fuera de alcance

Se revisan todos los caso con problemas de seguridad. Estos son algunos de los problemas de bajo riesgo comunes que OnDeck no podrían considerar vulnerabilidades de seguridad graves:

  • Fallas que afectan a los usuarios por navegadores y plugins desactualizados.
  • Clickjacking en las páginas sin contenido sensible, autenticación, o acciones de cambio de estado.
  • Vulnerabilidades que dependen de técnicas de ingeniería social.
  • Protección de fuerza bruta en la página de inicio de sesión.
  • Falsificación de petición de cierre de sesión en sitios cruzados.
  • Cualquier intento físico contra la propiedad o los centros de datos de OnDeck. 

 

Nuestro compromiso con la seguridad

Para quienes informen sobre una vulnerabilidad de seguridad y siguen esta política, OnDeck intentará hacer lo siguiente:

  • Acusar recibo de su informe.
  • Investigar en el momento oportuno, para confirmar, siempre que sea posible, la vulnerabilidad potencial.
  • Proporcionar un plan y un periodo de tiempo para abordar la vulnerabilidad, cuando sea necesario.
  • Notificar la resolución al informante sobre la vulnerabilidad. 

 

Reconocimiento de contribución

OnDeck se complace en reconocer a aquellos que han ayudado a hacer que los servicios de OnDeck sean seguros mediante la búsqueda y presentación de informes de vulnerabilidades de seguridad de acuerdo con esta política. Cada nombre de la lista representa una persona o empresa que ha dado a conocer, de forma privada, una o varias vulnerabilidades de seguridad y ha trabajado con nosotros para solucionar el problema. Con el acuerdo de informante de vulnerabilidad, OnDeck puede reconocer la contribución de un informante durante la divulgación pública de la vulnerabilidad, siempre y cuando el informante cumpla con esta política.

OnDeck no realiza compensaciones por los informes de vulnerabilidades de seguridad.

See OnDeck Security Researcher Acknowledgements

 

Modificaciones en la política

We may update or amend this policy at any time with or without notice to you. We encourage you to periodically review this page for the latest information on our privacy practices. If you have any questions regarding this policy, please email us at security@ondeck.com.

Committed to resolving security vulnerabilities quickly and carefully.