Політика відповідального розкриття інформації BT
Введення
Цей документ містить набір керівних принципів щодо процесу відповідального розкриття інформації, який визначається в ISO / IEC 29147 як процес, за допомогою якого постачальники та шукачі вразливостей можуть спільно працювати у пошуку рішень, які зменшують ризики, пов'язані з вразливістю. Крім того, це являє собою зобов'язання Banca Transilvania забезпечити постійне вдосконалення практики безпеки з метою захисту інформації наших клієнтів. Ця політика призначена для надання дослідникам безпеки керівних принципів щодо активів і видів досліджень, які вважаються в масштабі, і процесу звітування про вразливість.
З огляду на те, що дослідник безпеки буде дотримуватися наступних умов, Banca Transilvania визнає, що ідентифікація вразливості була проведена сумлінно, і не буде проводити жодних юридичних дій.
Принципи
- Будь-яке тестування або дослідження повинні проводитися проти дозволених систем, не впливаючи на функціональність наших послуг.
- Відповідно до принципу відповідального розкриття, дослідник безпеки повинен встановити зв'язок з призначеною точкою контакту і повідомити про будь-яку виявлену вразливість.
- Якщо вразливість виявлено, будь ласка, зверніться до розділу Звітування про вразливість, щоб знайти відомості про те, як зв'язатися з нами.
- Будь ласка, дайте нашій команді розумну кількість часу, щоб відповісти на ваш звіт.
- Після виявлення вразливості дослідник повинен припинити будь-яку діяльність, яка може призвести до компромісу або може вплинути на цілісність послуг і систем Banca Transilvania.
- Після того, як вразливість була підтверджена, ми беремо на себе зобов'язання вирішити проблему протягом 60 днів.
Масштаб
На ці активи поширюється така політика:
- Всі послуги в рамках AS34184 і AS34358.
Вразливості в області
Такі дефекти підпадають під дію цієї політики:
- Неправильна конфігурація безпеки сервера - Використання облікових даних за замовчуванням, вразливість реалізації CAPTCHA, небезпечне завантаження файлів, обмеження швидкості у формі, неправильне налаштування DNS, що призводить до поглинання субдомену з високим впливом тощо.
- Зламана автентифікація та управління сеансом - обхід автентифікації, поглинання облікового запису, автентифікація другого фактора (2FA) обхід і т.д.
- Конфіденційна експозиція даних - Розкриття секретів для загальнодоступних активів, таких як жорстко закодовані паролі, конфіденційні дані через незашифроване з'єднання тощо.
- Ін'єкція на стороні сервера - LFI, RFI, RCE, SQLi, XXE і т.д.
- Міжсайтові сценарії - зберігаються, відображаються, DOM.
- Відмова в обслуговуванні.
Поза scope методи тестування та вразливості
Наступні методи тестування (тобто види досліджень) і вразливості не підпадають під дію цієї політики:
- Фізичне тестування проти об'єктів Banca Transilvania / Власність.
- Фішинг (або співробітника, або клієнта/ користувача послуг Banca Transilvania).
- Спуфінг електронної пошти.
- Політики/конфігурації найкращої практики автентифікації електронної пошти (записи DKIM, SPF тощо).
- DDoS.
- Відсутність захисних заголовків (Суворий транспорт-безпека, X-Frame-Options, X-Webkit-CSP і т.д.).
- Недоліки, що впливають на користувачів застарілих браузерів і плагінів.
- Людина в середині (MITM) атака доказ концепції.
- Self XSS.
- Банер захоплення.
- Http трасування / параметри методи включений.
- CSRF з мінімальним впливом (логін, вихід і т.д.).
- Відкрити переспрямування (на основі POST або заголовка).
- Clickjacking або інші подібні методи атаки.
- Одноразові адреси електронної пошти, дозволені при реєстрації.
- Відсутність заплутування.
- Впорскування заголовка без очевидного впливу.
- Відсутність прапорів файлів cookie secure та HTTPOnly (критичні системи все ще можуть бути в області).
- Статичний вміст, що подається через HTTP.
- Слабкі політики паролів.
- Перерахування імені користувача та облікового запису.
Повідомлення про дефект
Якщо ви виявили вразливість або у вас виникли питання, будь ласка, зв'яжіться з нами за наступною адресою електронної пошти: cybersec@btrl.ro.
Для того, щоб забезпечити конфіденційність і цілісність, будь ласка, використовуйте ключ PGP 0x6F077A29C359A429 для шифрування зв'язку. Ви можете знайти наш файл безпеки.txt за наступною адресою:
Зобов'язання щодо конфіденційності
Може включати, але не обмежуючись ними: інформацію, пов'язану з клієнтами, фінансову або особисту інформацію, інформацію, пов'язану з вразливими активами.
Дослідник безпеки погоджується з тим, що вони не будуть розкривати жодного з перерахованих вище третіх сторін без угоди Banca Transilvania. Таким чином, будь-які потенційні звіти про вразливість слід розглядати як конфіденційну інформацію.
Торгові картки
Картки в лей
Молодіжна картка
