0/23Evaluados
0Conformes
0No Conformes
0OM
ACTUAR
A-03
Prueba
Revisión documental

A.5.24 / A.5.5 ISO 27002:2022

¿Existe una política de divulgación responsable (Responsible Disclosure) que defina cómo OmniControl recibe, procesa y responde a reportes de vulnerabilidades de investigadores externos o clientes?

Descripción de la prueba

Usar la herramienta interna 'Disclosure Checker' para sondear los canales esperados de divulgación de vulnerabilidades en los dominios de OmniControl: GET https://app.omnicontrol.co/.well-known/security.txt, página /security, email security@omnicontrol.co, página /report-vulnerability. En paralelo, revisar el documento de política de Responsible Disclosure si existe.

Evidencia / Muestreo esperado

Resultado del sondeo de cada canal esperado (HTTP status, contenido). Documento de política de Responsible Disclosure publicado o disponible. Proceso interno de triaje. Si todos los canales devuelven 404 o no existen, constituye no conformidad.

Justificación contextual OmniControl

Como SaaS con 60 clientes activos, OmniControl puede ser objeto de investigación de seguridad externa. Sin un canal formal, los reportes llegan por vías informales (WhatsApp, correo de soporte general) o simplemente no llegan, dejando vulnerabilidades sin atender. El canal actual de soporte por WhatsApp hace crítico formalizar este proceso para cumplir con el deber de diligencia de la Ley 1581 Art. 17.

Qué buscar como auditor
  • 01¿Existe /.well-known/security.txt en los dominios de OmniControl?
  • 02¿Hay una página pública /security o /vulnerability-disclosure?
  • 03¿Existe un email dedicado (security@omnicontrol.co)?
  • 04¿Hay una política publicada con SLA de respuesta?
  • 05¿Los reportes externos tienen un flujo distinto al de soporte general?

Artefactos para ejecutar la prueba

Herramienta
Disclosure Checker — sondeo de canales públicos
Herramienta para verificar la presencia de security.txt, páginas /security, emails dedicados y políticas publicadas
Documento
Política de Responsible Disclosure
Documento corporativo solicitado al equipo de seguridad
Interpretación según contexto OmniControl

La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.

Recomendación del auditorOculta

La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.

Hallazgo del auditor
Clasificación del hallazgo
Control anterior (A-04)