Puerto seguro para white hats. Ayúdanos a proteger el ecosistema reportando bugs sin riesgo de represalias legales, siempre que sigas las reglas de compromiso.
En ORZ Holdings valoramos profundamente a la comunidad de investigadores de seguridad. Nos comprometemos a no emprender ninguna acción legal, presentar demandas ni involucrar a las autoridades contra cualquier individuo que reporte de buena fe vulnerabilidades, siempre que dichas pruebas se realicen estrictamente bajo las Reglas de Compromiso de esta política.
Para mantener el estatus de Safe Harbor, un investigador jamás debe cometer las siguientes acciones:
No realizar ataques de denegación de servicio (DDoS, DoS), fuerza bruta excesiva ni nada que degrade o interrumpa nuestros servicios operacionales.
Prueba vulnerabilidades única y exclusivamente en cuentas creadas y controladas por ti. Nunca intentes acceder ni extraer datos de otros usuarios o empleados.
Están prohibidas técnicas de ingeniería social, spear phishing, engaño o suplantación contra el personal de ORZ Holdings o sus clientes.
Explota hasta demostrar el PoC, sin extraer datos masivos ni destruir la base de datos de los entornos de prueba o producción.
Contacta directamente a CISO Office / Support para reportar tus hallazgos. Confirmaremos recepción en un máximo de 7 días hábiles y mantendremos al investigador al tanto.
support@orzatty.comPara procesar el reporte rápidamente, incluye:
Otórganos tiempo razonable para solucionar la vulnerabilidad antes de hacer el vector público o divulgar detalles en un blog.
Por ahora, NO tenemos un programa monetario de Bug Bounty activo. Sin embargo, quienes aportes hallazgos críticos comprobados bajo las Reglas de Compromiso serán añadidos a un futuro "Hall of Fame" en orzatty.org.