Menjaga kepentingan Anda
- Jangan menandatangani blanko formulir kosong. Pastikan Anda telah memahami setiap informasi yang perlu dilengkapi sebelum menandatangani setiap blanko formulir transaksi.
- Pastikan Anda telah mengetahui dan memahami syarat dan ketentuan yang berlaku untuk setiap produk dan layanan OVO yang ditawarkan.

Lindungi Diri Anda dari Pengambilalihan Nomor Ponsel (SIM Swap). SIM Swap adalah penggantian SIM card ponsel melalui operator seluler secara ilegal oleh pihak yang tidak bertanggung jawab, dengan tujuan memperoleh akses transaksi OVO Anda seperti menerima OTP (One-Time Password) atas suatu transaksi online yang tidak Anda lakukan.

Berikut Tips untuk Menghindari SIM Swap:
- Segera hubungi operator seluler Anda ketika layanan komunikasi melalui ponsel tidak berfungsi, seperti tidak melakukan / menerima panggilan maupun SMS.
- Segera hubungi Call Center OVO 1500 696 jika menemukan indikasi / memperoleh informasi bahwa Anda menjadi korban SIM Swap.
- Tidak mempublikasikan nomor ponsel di media sosial atau gunakanlah nomor ponsel yang berbeda untuk aktivitas perbankan Anda.
- Berhati-hatilah saat Anda memberikan data pribadi (tanggal lahir, nomor ponsel) kepada pihak lain.

Pastikan akurasi informasi pribadi Anda

Informasikan kepada OVO setiap kali terjadi perubahan data pribadi Anda dilengkapi dengan dokumen pendukung yang diperlukan. Data-data tersebut termasuk namun tidak terbatas pada:

1. Alamat email
2. Nomor telepon & nomor telepon genggam
3. Nomor dan masa berlaku identitas (KTP)
4. Nomor NPWP

Tips menjaga Security Code Anda
- Ingatlah Security Code Anda dan hindari mencatat nomor Security Code Anda.
- Hindari penggunaan nomor-nomor yang mudah ditebak orang lain sebagai nomor Security Code Anda seperti tanggal lahir, nomor telepon, dsb.
- Jangan beritahukan Security Code Anda kepada orang lain, termasuk kepada seseorang yang mengaku dari pihak OVO atau pihak yang berwajib.
- Ganti Security Code secara berkala.
- Pastikan tidak ada orang yang melihat Anda memasukkan Security Code Anda.

Jika Anda membutuhkan bantuan agen kami, silahkan hubungi:

Call Center: 1500 696
Email: [email protected]

Hati-hati dengan Phishing
Email phishing terlihat seakan-akan berasal dari perusahaan yang sah. Mereka memperingatkan Anda tentang adanya masalah yang harus cepat diselesaikan mengenai akun Anda dan memancing Anda untuk mengklik link yang menghubungkan Anda kepada situs yang palsu. Ingatlah bahwa perusahaan yang sah tidak akan meminta informasi pribadi Anda melalui email.

Tanda-tanda lain yang mengindikasikan email penipuan:
- Adanya sapaan yang umum seperti "Dear user" dan/atau informasi lain yang tidak ditujukan secara khusus untuk Anda di dalam isi email tersebut.
- Gambar logo perusahaan yang terlihat aneh (terdistorsi atau terlalu melebar ke samping).
- Link di email tidak sesuai dengan URL dari situs yang sah.
- Terdapat lampiran yang dapat meluncurkan virus atau spyware di komputer Anda.

Phishing Websites, Email penipuan (phishing) dapat mengarahkan Anda ke situs yang sangat meyakinkan. Perhatikan tanda-tanda berikut ini:

- Situs mengancam akan menutup akun Anda jika Anda tidak memverifikasi informasi pribadi Anda.
- Website mengeluarkan pesan error dan meminta anda untuk log in.
- URL tidak benar. Contohnya. Anda melihat www.ovo.com dan bukan alamat yang benar yaitu www.ovo.id.
- URL bisa juga berisi angka (seperti alamat IP) atau tanda "@".
- Lokasi ikon gembok tidak berada pada tempat yang seharusnya. Ikon tersebut harusnya ada di status bar di sebelah kanan bawah dan bukan di dalam halaman situs.
- Jika Anda double-click ikon kunci, Anda menerima peringatan bahwa alamat website tidak sesuai dengan security certificate.
- Gambar logo terdistorsi atau tampak terlalu melebar ke samping, yang menunjukkan bahwa logo tersebut telah disalin.
- Terdapat kesalahan tata bahasa dan pengejaan. Jika terdapat nomor telepon pada situs palsu tersebut, nomor tersebut tidak sesuai dengan nomor telepon pada akun Anda.
- Anda tidak dapat terhubung dengan home page dari website yang palsu.

Mengenal penipuan melalui telepon:
Jangan pernah memberikan informasi pribadi melalui telepon kecuali Andalah yang melakukan panggilan. Berhati-hatilah atas hal-hal di bawah ini:

- Pesan otomatis dengan permintaan mendesak untuk memverifikasi akun Anda.
- Voicemails yang meminta Anda untuk menelepon nomor dengan kode internasional lainnya. Anda akan mendapat tagihan telepon yang mahal.
- Untuk mendapatkan hadiah lotere atau hadiah lainnya, Anda diminta untuk menelepon kode dua digit diawali atau diakhiri dengan tanda "#" atau "*" (contoh: *79 or 72#). Ini merupakan penipuan call-forwarding.
- Ingat: Staf OVO tidak akan pernah menanyakan password Anda.

Lindungi Data Diri dan Rekening Anda dari Mobile Malware

Mobile Malware atau Mobile Malicious Software merupakan perangkat lunak berbahaya yang menyerang perangkat mobile Anda seperti smartphone maupun tablet dengan tujuan untuk merusak sistem operasi atau aplikasi dan/atau mencuri data pribadi maupun data perbankan anda.
Demi keamanan transaksi perbankan dengan perangkat mobile Anda, pastikan:

- Melakukan instalasi anti-virus/anti-malware yang handal pada perangkat anda (jika perangkat anda belum dilengkapi anti-virus/anti-malware) dan mengkinikan secara reguler anti-virus/anti-malware maupun perangkat lunak mobile endpoint protection lainnya;
Hanya melakukan instalasi perangkat lunak mobile dari apps store resmi;
- Tidak melakukan instalasi perangkat lunak yang mencurigakan dan meminta izin akses yang berlebihan;
- Tidak melakukan jailbreaking* atau rooting* pada perangkat mobile Anda


*Jailbreaking atau Rooting adalah suatu modifikasi pada sistem operasi perangkat mobile iOS (Jailbreaking) atau Android (Rooting) yang bertujuan untuk memperoleh akses penuh terhadap sistem operasi, dimana hal ini dapat menyebabkan perangkat mobile menjadi lebih rentan dari bahaya Mobile Malware

Program Bug Bounty OVO

OVO menghargai hubungan dekatnya dengan komunitas dan periset keamanan informasi. Untuk menunjukkan penghargaannya terhadap kontribusi eksternal, OVO mengelola Program Bug Bounty yang dirancang untuk memberi penghargaan atas pengungkapan kerentanan keamanan yang memenuhi syarat.

Kami senang untuk memberikan penghargaan serta pengakuan sepantasnya terhadap temuan-temuan kerentanan yang dilaporkan. Dengan ini, para pengguna kami dapat melakukan pembaruan sesegera mungkin begitu perbaikan diterbitkan. Kebijakan:

Selagi Anda berusaha untuk mengidentifikasikan kerentanan keamanan yang kami mungkin miliki, OVO memerlukan Anda untuk menaati prosedur pelaporan sebagai berikut:

• Bagikanlah kepada kami segala hal atau permasalahan yang ditemukan melalui email: [email protected]
• Menunjukkan sikap terpuji dengan tidak membagikan, memanipulasi, atau merusak data. Mohon melakukan pentesting hanya dengan akun anda sendiri.

Perincian yang perlu diberikan adalah:

• Penjelasan serta informasi yang cukup mengenai kerentanan keamanan yang akan memungkinkan pihak OVO untuk mereproduksi langkah-langkah yang Anda lakukan dalam menciptakan kerentanan atau permasalahan tersebut.
• Pembuktian konsep (proof of concept).
• Penjelasan mengenai bagaimana serangan tersebut dapat dijalankan dalam skenario dunia nyata, yang lalu dapat menyebabkan kebocoran data akun pengguna, atau kerugian lainnya.
• Alamat email Anda, karena kami mungkin memerlukan Anda untuk memberikan informasi tambahan sesuai relevansi atau kebutuhan.
• Tidak mempublikasikan, mem-post, mentransmisikan, mengunggah pengungkapan kerentanan tersebut ke media sosial mana pun, serta tidak membagikan informasi mengenai pengungkapan kerentanan tersebut ke pihak mana pun selain Anda atau tim inti Anda sendiri sebagai penggiat atau peneliti keamanan informasi.
• Tidak mencoba untuk mengakses atau mengubah data pengguna atau pelanggan OVO, kecuali yang milik Anda pribadi.
• Tidak memperburuk atau mencoba untuk memperburuk kinerja layanan-layanan yang kami miliki (misalkan melalui pemindaian otomatis, menjalankan brute force, atau serangan denial of service).
• Tidak mem-post, mentransmisikan, mengunggah, membuat link kepada, mengirimkan, ataupun menyimpan malware, virus, serta segala piranti lunak berbahaya lainnya.
• Periksalah daftar kami mengenai kerentanan yang tidak termasuk kualifikasi untuk memastikan bahwa Anda tidak sia-sia menghabiskan waktu memburu suatu kerentanan yang akan terdiskualifikasi.
• Laporkan permasalahan sesuai dengan cakupan yang terdefinisikan di bawah ini.

Cakupan:

• Situs web OVO
• Aplikasi mobile OVO Android (https://play.google.com/store/apps/details?id=ovo.id)
• Aplikasi Mobile OVO iOS (https://itunes.apple.com/id/app/ovo/id1142114207?mt=8)
• Backend yang terkait dengan aplikasi OVO

Kerentanan yang tidak masuk kualifikasi:

• Exposure of third-party API keys with no significant security impact (eg. Google Maps API keys)
• Open redirect, kecuali dapat di gunakan untuk mengambil token/auth.
• Host Header.
• Descriptive error messages (e.g. Stack Traces, application or server errors). Kecuali error message tersebut mengandung informasi penting, seperti PII atau Username/Password, dll.
• Broken Links.
• Path Disclosure
• HTTPS Mixed Content Scripts.
• Logout CSRF.
• WordPress username enumeration.
• Denial of Service (DoS)
• Social Engineering pada staff dan User OVO untuk mendapatkan kredensial.
• Outdated Wordpress instances
• Most brute forcing issues
• Spamming
• CSRF in forms that are available to anonymous users (e.g. the contact form).
• Publicly accessible login panels without proof of exploitation.
• Fingerprinting / banner disclosure on common/public services.
• CSV injection. Please see this article
• Login or Forgot Password page brute force and account lockout not enforced.
• Clickjacking/Tapjacking and issues only exploitable through clickjacking/tapjacking.
• OPTIONS HTTP method enabled
• Content injection issues.
• Content Spoofing without embedded links/html
• Self-XSS that can not be used to exploit other users (this includes having a user paste JavaScript into the browser console).
• Reflected File Download (RFD).
• XSS issues that affect only outdated browsers (like Internet Explorer)
• Flashed based XSS (XSF)
• Best practices concerns.
• HTML Injection
• window.opener-related issues.
• Highly speculative reports about theoretical damage. Be concrete.
• Missing HTTP security headers, specifically, For e.g.
  • Strict-Transport-Security
  • X-Frame-Options
  • X-XSS-Protection
  • X-Content-Type-Options
  • Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  • Content-Security-Policy-Report-Only
• Infrastructure vulnerabilities, including:
  • Certificates/TLS/SSL related issues
  • DNS issues (i.e. mx records, SPF records, etc.)
  • Server configuration issues (i.e., open ports, TLS, etc.)
• Outdated web browsers: vulnerabilities contingent upon outdated or unpatched browsers will not be honoured, including Internet Explorer all versions.
• Vulnerabilities involving active content such as web browser add-ons.
• Recently disclosed 0day vulnerabilities. We need time to patch our systems just like everyone else - please give us two months before reporting these types of issues.
• Microsites with little to no user data.
• Issues requiring user-interaction.

SLA:
Kami di OVO memiliki proses peninjauan internal yang standar dengan SLA sebagai berikut:

• Waktu yang dibutuhkan tim internal kami yang didedikasikan untuk menangani permasalahan keamanan untuk merespons yang dihitung sejak masuknya laporan awal: 2x24 jam.
• Waktu untuk menerbitkan perbaikan (fix) setelah tim internal kami yang didedikasikan untuk menangani permasalahan keamanan memberikan konfirmasi bahwa suatu kerentanan dapat direproduksikan: 5-15 hari (tergantung dari tingkat kerumitan dari kerentanan keamanan yang dilaporkan dan perbaikan seperti apa yang diperlukan).
• Waktu untuk proses verifikasi final, yang dilakukan oleh pelapor awal kerentanan keamanan tersebut: 1x24 jam.
• Dalam hal bahwa saat proses verifikasi final ternyata kerentanan keamanan terbukti masih memiliki celah—berarti perbaikan (fix) yang sebelumnya diuji dan diterbitkan oleh tim internal tidak menyelesaikan permasalahan—langkah 2 dan 3 di atas akan diulang sebanyak yang diperlukan.

Pembayaran Hadiah:
Setelah proses verifikasi final selesai, Anda berhak untuk mendapatkan bayaran atas usaha keras Anda. Semua pembayaran hadiah akan diberikan sesuai persetujuan manajemen OVO. Meskipun OVO memiliki hak penuh atas penentuan nominal setiap hadiah yang harus dibayarkan, kami dapat memberitahukan Anda bahwa suatu hadiah akan ditentukan nominalnya berdasarkan atas tingkat kesulitan eksekusinya, dampak bisnisnya, serta konsekuensi teknis yang diakibatkannya.