Comunicados de prensa

OVH lanza su Bug Bounty para reforzar la seguridad

2016
Comunicados de prensa
España

El Bug Bounty de OVH, presentado durante la decimocuarta edición de la Nuit du Hack de París, permite que cualquier persona interesada en seguridad informática pueda reportar un fallo de seguridad en sus infraestructuras. Testado a nivel interno, este programa ya está disponible en la plataforma bountyfactory.io . El funcionamiento es muy sencillo: los equipos de seguridad estudian y, si hace falta, corrigen los posibles bugs, y la persona que detecta el error recibe una recompensa, que será financiera en la mayoría de los casos (pudiendo ascender hasta los 10.000 euros), o en forma de regalos o vales para las vulnerabilidades que se localicen fuera del perímetro.

Una plataforma alojada en Francia

Creado hace ya 17 años, el grupo OVH siempre ha otorgado un lugar prioritario a la seguridad. Hasta ahora, era posible reportar fallos de seguridad en la dirección «security[arroba]ovh.net» y este sistema permitía corregir muchas de las vulnerabilidades. Para Vincent Malguy, del equipo SOC (Security Operation Center), «el lanzamiento de Bug Bounty es el resultado de muchos años de reflexión. La plataforma Bounty Factory ha permitido materializar el proyecto ideado por Octave Kabla».

Hasta ahora, las plataformas de Bug Bounty existentes eran norteamericanas, por lo que era totalmente inviable que una empresa comprometida con la soberanía de sus datos como OVH almacenase una lista de vulnerabilidades fuera del territorio nacional. La plataforma que permite a OVH implementar este programa está alojada a nivel interno en la solución Dedicated Cloud , una infraestructura que cuenta desde hace años con la certificación ISO 27001 .

Una estrategia de seguridad consolidada

La apertura al público del programa de detección de fallos es una más de las numerosas medidas adoptadas a nivel interno para garantizar la seguridad de las infraestructuras y de los datos de nuestros clientes. Aparte de la estrategia global de certificaciones adoptada por el grupo (ISO 27001 e ISO 27017, PCI-DSS, SOC 1 tipo II y SOC 2 tipo II para Dedicated Cloud), OVH realiza cada año múltiples tests de intrusión internos y externos que permiten garantizar que los sistemas más críticos responden a las más altas exigencias.

Para abarcar todo el espectro de soluciones y reducir al mínimo la existencia de fallos de seguridad, OVH ha decidido institucionalizar y normalizar el procedimiento para informar públicamente de las vulnerabilidades. «Con Bug Bounty podemos testear permanentemente nuestras infraestructuras con distintos perfiles y competencias muy variadas. Con las auditorías tradicionales sería imposible abarcar una gama de soluciones tan amplia durante tanto tiempo», recuerda Vincent.

Aunque por ahora Bug Bounty solo permite registrar los fallos de seguridad que se detectan en la API y en el área de cliente, dentro de poco se extenderá a todos los productos de OVH.