Importante: Tu navegador es incompatible con algunas funcionalidades de nuestro sitio. Actualizalo aquí

login
Itaú Itaú

sugerencias

Divulgacion Responsable

¿Indificaste algún punto de mejora en nuestros sistemas?

Si encontraste algún problema o debilidad en nuestros canales, podés compartirlo con nuestro equipo experto en seguridad.

Nuestra seguridad también se hace contigo

Mantenemos un canal para la notificación responsable de vulnerabilidades y mejoras, para animar a los investigadores de seguridad a informarnos sobre posibles problemas y mejoras en nuestros sistemas. Aquí en Itaú, la seguridad es prioridad.

Conocé cómo realizar una divulgación responsable

Los investigadores de seguridad pueden revelar potenciales vulnerabilidades en nuestros sistemas/aplicaciones siguiendo las siguientes pautas:

check

No realizar ninguna actividad que pueda causar daño a Itaú, a nuestros clientes o a nuestros empleados.

check

No realizar ninguna actividad que pueda detener y/o impactar las aplicaciones, servicios o activos de Itaú.

check

No realizar ninguna actividad que pueda violar cualquier Ley o reglamentación, así como lineamientos, ordenanzas u otras manifestaciones de las Autoridades Reguladoras.

check

No usar herramientas de escaneo automático.

check

No actuar de mala fe buscando realizar solicitudes de rescate de datos (secuestro de datos).

check

No realizar ataques de fuerza bruta, eliminar servicios o comprometer cuentas.

check

No almacenar, compartir, comprometer o destruir cualquier dato de Itaú Unibanco o de cualquiera de sus clientes. Si se encuentra alguna información de identificación personal, deberás detener inmediatamente las actividades, eliminar los datos de tu sistema y comunicarse de inmediato con Itaú Unibanco por correo electrónico
abuse@itau-unibanco.com.br.

check

No iniciar ninguna transacción financiera indebida.

check

No solicitar ningún tipo de recompensa por descubrir la potencial vulnerabilidad.

Importante: Al someterte a las reglas del programa, aceptás NO DIVULGAR (y/o DISCUTIR) públicamente tus hallazgos o el contenido de su envío a terceros, de ninguna manera, sin el CONSENTIMIENTO EXPRESO de Itaú Unibanco.

Reportar

La comunicación de la mejora debe hacerse exclusivamente a la dirección de correo electrónico
abuse@itau-unibanco.com.br. Una vez compartida la vulnerabilidad, Itaú se compromete a responder dentro de los dos (2) días hábiles siguientes a la recepción del informe, manteniéndote informado sobre el manejo de la(s) vulnerabilidad(es) en evaluación.

Queremos obtener la mayor cantidad de información posible del informador de vulnerabilidades para que podamos validar e implementar rápidamente cualquier mejora potencial.

No incluir toda la información de esta lista podría retrasar o impedir que validemos y corrijamos la vulnerabilidad. Las respuestas a preguntas de baja relevancia y/o informativas no tendrán prioridad. Guardá todos tus registros, ya que te pediremos que los ponga a nuestra disposición.

Información que deberias proporcionar

  • Una descripción de la vulnerabilidad, incluida la explotabilidad y el impacto, si no es un tipo de ataque común;

  • Pasos requeridos para explotar la vulnerabilidad, incluyendo:

    • la(s) URL(s)/aplicación(es) afectada(s);
    • condiciones previas requeridas (por ejemplo: conectado, no conectado);
    • cómo demostrar el problema.

  • IP utilizadas cuando se descubrió la vulnerabilidad;

  • Si es posterior a la autenticación, la ID de usuario utilizada cuando se descubrió la vulnerabilidad;

  • Una prueba del concepto;

  • Nombres de cualquier archivo subido a nuestros sistemas.

Un Itaú mas seguro

Agradecemos tu dedicación y colaboración si enviaste un reporte que nos ha ayudado significativamente a mantener a nuestros clientes cada vez más protegidos. Sin embargo, Itaú no tiene un programa público de recompensas por reporte de errores, ni proporciona compensación monetaria ni ningún otro tipo de recompensa por las vulnerabilidades enviadas a través de este canal.

Confidencialidad

Al revelar vulnerabilidades de manera responsable, siguiendo las directrices aquí establecidas y siempre que no se verifique incompatibilidad entre las acciones del investigador de seguridad y la legislación local vigente, Itaú se compromete a no emprender acciones legales y/u otras medidas aplicables contra el investigador. Si un tercero emprende acciones legales contra ti en relación con las actividades realizadas de acuerdo con esta política, tomaremos medidas para informar que tus acciones se llevaron a cabo de acuerdo con esta política.

Si se identifica alguna irregularidad en este sentido, Itaú podrá proceder con las medidas aplicables. Además, puede emprender otras acciones legales en caso de incumplimiento de estas pautas.

Privacidad

Para mantenerte informado sobre el manejo de las vulnerabilidades reportadas, te solicitaremos tu información de contacto, como nombre y dirección de correo electrónico y, en algunos casos, número de teléfono. Si la vulnerabilidad se informa de forma anónima, lo respetaremos.

La información de contacto solo se utilizará para mantenerte informado sobre el proceso de divulgación de vulnerabilidades y no se compartirá con terceros sin tu permiso explícito.

Para proteger tu privacidad:

  • No compartiremos tu información de identificación personal (PII) con terceros
  • No compartiremos tu encuesta sin permiso.

Vigente desde el 10 de diciembre de 2021. Podemos cambiar las reglas para la Divulgación responsable de Vulnerabilidades de vez en cuando, o podemos cancelar nuestro programa en cualquier momento.

Fuera de alcance

Ciertas vulnerabilidades se consideran fuera del alcance de nuestro Programa de Divulgación Responsable:

  • Pueba Física

  • Ingeniería social (por ejemplo, intentos de robar cookies, páginas de inicio de sesión falsas para recopilar credenciales)

  • Phishing/ suplantación de identidad

  • Ataques de denegación de servicio

  • Ataques de agotamiento de recursos

  • Mensajes de error descriptivos (por ejemplo, Stack Traces, errores de aplicación o servidor)

  • Códigos/páginas HTTP 404 u otros códigos/páginas HTTP distintos de 200

  • Difusión de banners en servicios comunes/públicos

  • Divulgación de archivos o directorios públicos conocidos (p. ej., robots.txt)

  • Clickjacking y problemas que solo pueden explotarse mediante clickjacking

  • CSRF en formularios que están disponibles para usuarios anónimos (por ejemplo, el formulario de contacto)

  • CSRF en formularios que están disponibles para usuarios anónimos (por ejemplo, el formulario de contacto)

  • Presencia de la funcionalidad 'autocompletar' o 'guardar contraseña' del navegador web o la aplicación

  • Faltan de señalizadores de cookies seguras y HTTPOnly

  • Falta de Speedbump de seguridad al salir del sitio

  • Omisión de Captcha / Captcha débil

  • Enumeración de nombre de usuario a través de un mensaje de error en la página de inicio de sesión

  • Enumeración de nombre de usuario a través del mensaje de error "Olvidé mi contraseña"

  • Forzado de página de inicio de sesión o contraseña olvidada y bloqueo de cuenta no aplicado

  • Método OPTIONS / HTTP TRACE habilitado

  • Ataques SSL como BEAST, BREACH, ataque de renegociación

  • Secreto de reenvío de SSL no habilitado

  • Conjuntos de cifrado SSL Insecure

  • El encabezado Anti-MIME-Sniffing X-Content-Type-Options

  • Encabezados de seguridad HTTP faltantes

Este canal de denuncia no debe
utilizarse para:

  • Comentarios sobre los servicios prestados por Itaú Unibanco
  • Comentarios o preguntas sobre la accesibilidad de nuestros servicios
  • Denuncias de fraude o posible fraude
  • Informar problemas de cajeros automáticos (a menos que estén relacionados con la seguridad)
  • Reporte de virus y/o malware

Importante: Algunos dominios pueden emplear redireccionamientos a otros dominios que no están dentro del alcance de nuestro programa. Verificá que tu prueba solo se ejecute dentro de los objetivos enumerados en esta página como parte del alcance.

Canales digitales

Accedé a nuestros diferentes canales para realizar consultas y transacciones.

Encontranos en:

¿Te sirvió mi ayuda?