0/23Evaluados
0Conformes
0No Conformes
0OM
Volver al control
Inexistente
Aviso del auditor

El equipo de OmniControl confirmó que no existe una política de divulgación responsable documentada. Tampoco hay canal formal (security@, security.txt o página /security). Los reportes externos llegan al canal de soporte general, mezclados con consultas operativas.

OmniControl S.A.S — Documento corporativo

Política de Divulgación Responsable (Responsible Disclosure)

Documento solicitado al equipo de seguridad

Código
POL-RD-001
Versión
Aprobado por
Fecha aprobación
Documento no encontrado

No existe documento de Política de Responsible Disclosure en el sistema documental de OmniControl. El canal recomendado por buenas prácticas (security.txt según RFC 9116) tampoco está implementado en los dominios de producción.

Plantilla recomendada para OmniControl

Una política mínima de Responsible Disclosure debería contener al menos los siguientes elementos. Esta es la propuesta del auditor como referencia:

1. Alcance

La política aplica al ERP/TMS de OmniControl en todos los dominios productivos (app.omnicontrol.co, api.omnicontrol.co) y a sus integraciones con DIAN, RNDC y proveedores GPS.

2. Cómo reportar una vulnerabilidad

  • Email dedicado: security@omnicontrol.co (con clave PGP publicada).
  • Archivo público: https://app.omnicontrol.co/.well-known/security.txt
  • Página pública: https://app.omnicontrol.co/security con la política completa y formulario de reporte.

3. Compromiso de OmniControl

  • Acuse de recibo en máximo 5 días hábiles.
  • Triaje y clasificación inicial en máximo 10 días hábiles.
  • Comunicación periódica al investigador hasta el cierre del caso.
  • Cláusula safe harbor: OmniControl no iniciará acciones legales contra investigadores que actúen de buena fe siguiendo esta política.
  • Reconocimiento opcional al investigador en hall of fame interno (con su consentimiento).

4. Alcance prohibido

  • Pruebas de denegación de servicio (DoS/DDoS).
  • Ingeniería social contra empleados, clientes o proveedores.
  • Acceso o exfiltración de datos personales reales de clientes (Ley 1581 Art. 4).
  • Pruebas físicas en oficinas o data centers.

5. Canales fuera de alcance

NO usar: el canal de soporte (soporte@omnicontrol.co o WhatsApp) para reportar vulnerabilidades de seguridad. Esos canales no garantizan confidencialidad ni triaje técnico.

Acción correctiva propuesta: publicar este documento como POL-RD-001 v1.0 con firma de Gerencia, crear el email security@omnicontrol.co con redirección al equipo técnico, y desplegar el archivo /.well-known/security.txt en los dominios productivos. Costo estimado: 4 horas de implementación.