Política de seguridad de OnDeck

  • OnDeck está comprometida a resolver las vulnerabilidades de seguridad de forma rápida y prudente. Con el fin de proteger a nuestros usuarios y sus datos, solicitamos que se informe sobre vulnerabilidades de manera responsable y confidencial para que podamos investigar y responder según corresponda. No deben anunciarse las vulnerabilidades hasta que hayamos desarrollado e implementado una actualización.

    Usos no permitidos del sitio web de OnDeck y tipos no permitidos de investigación de seguridad

    • Dañar intencionalmente la experiencia o la utilidad del servicio de los demás.
    • Causar, o intentar causar, una condición de denegación de servicio (DoS).
    • Acceder, o intentar acceder, a datos o información que no le pertenezcan.
    • Destruir o corromper, o intentar destruir o corromper, datos o información que no le pertenezcan.

    Si está investigando problemas de seguridad, en especial los que puedan poner en peligro la privacidad de otros, hágalo con precaución, con el fin de respetar la privacidad de nuestros usuarios. Siempre que sea posible, realice todas las pruebas de vulnerabilidad contra las instancias de no producción de nuestros productos para minimizar el riesgo en cuanto a datos y servicios.

    Cómo informar sobre una vulnerabilidad de seguridad

    1. Se revisa y realiza un seguimiento sobre todas las vulnerabilidades de seguridad a través de nuestro programa de envíos de error HackerOne. Por el momento, este programa no es público, pero puede solicitar acceso enviando un correo electrónico a nuestro equipo de seguridad a security@ondeck.com.
      Espere hasta 48 horas para que el equipo de seguridad de OnDeck reciba su solicitud y procese su invitación.
    2. Proporcione detalles de las potenciales vulnerabilidades de manera que el equipo de seguridad de OnDeck pueda validar y reproducir el problema de forma rápida. Sin la información que se indica a continuación, puede ser difícil, si no imposible, abordar la potencial vulnerabilidad. No se tendrán en cuenta informes que enumeren varias potenciales vulnerabilidades sin mayores aclaraciones.
    3. Los detalles deben incluir:
    1. Tipo de vulnerabilidad.
    2. Un escenario de ataque concreto. ¿De qué manera el problema afecta a OnDeck o a los usuarios y socios de OnDeck? ¿Qué es lo peor que podría suceder si un atacante aprovecha esta falla de seguridad?
  • Informar si los datos fueron publicados o compartidos con otras partes
  • Productos o versiones afectadas
  • Configuraciones afectadas
  • Instrucciones paso a paso o código de prueba de concepto para reproducir el problema.
  • Vulnerabilidades fuera de alcance

    Se revisan todos los caso con problemas de seguridad. Estos son algunos de los problemas de bajo riesgo comunes que OnDeck no podrían considerar vulnerabilidades de seguridad graves:

    1. Fallas que afectan a los usuarios por navegadores y plugins desactualizados.
    2. Clickjacking en las páginas sin contenido sensible, autenticación, o acciones de cambio de estado.
    3. Vulnerabilidades que dependen de técnicas de ingeniería social.
    4. Protección de fuerza bruta en la página de inicio de sesión.
    5. Falsificación de petición de cierre de sesión en sitios cruzados.
    6. Cualquier intento físico contra la propiedad o los centros de datos de OnDeck.

    Nuestro compromiso con la seguridad

    Para quienes informen sobre una vulnerabilidad de seguridad y siguen esta política, OnDeck intentará hacer lo siguiente:

    1. Acusar recibo de su informe.
    2. Investigar en el momento oportuno, para confirmar, siempre que sea posible, la vulnerabilidad potencial.
    3. Proporcionar un plan y un periodo de tiempo para abordar la vulnerabilidad, cuando sea necesario.
    4. Notificar la resolución al informante sobre la vulnerabilidad.

    Reconocimiento de contribución

    OnDeck se complace en reconocer a aquellos que han ayudado a hacer que los servicios de OnDeck sean seguros mediante la búsqueda y presentación de informes de vulnerabilidades de seguridad de acuerdo con esta política. Cada nombre de la lista representa una persona o empresa que ha dado a conocer, de forma privada, una o varias vulnerabilidades de seguridad y ha trabajado con nosotros para solucionar el problema. Con el acuerdo de informante de vulnerabilidad, OnDeck puede reconocer la contribución de un informante durante la divulgación pública de la vulnerabilidad, siempre y cuando el informante cumpla con esta política.

    OnDeck no realiza compensaciones por los informes de vulnerabilidades de seguridad.

    Ver Reconocimiento de investigadores de seguridad de OnDeck

    Modificaciones en la política

    Es posible que actualicemos o modifiquemos esta política en cualquier momento con o sin previo aviso. Le recomendamos revisar periódicamente la página para obtener la información más actualizada relativa a las prácticas de privacidad. Si tiene alguna pregunta sobre esta política, envíenos un correo electrónico a security@ondeck.com