Цю сторінку було автоматично перекладено з румунської українською.

Завантажити BT Pay

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Завантажити BT Pay

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Завантажити BT Pay

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Завантажити NeoBT

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Завантажити NeoBT

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Завантажити NeoBT

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Завантажити BT24

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Завантажити BT24

Відскануйте код за допомогою мобільного телефону, залежно від вашої телефонної системи.

Довідково - інформаційний центр

ПЕСТ
20
ХВ
ЧАС ОЧІКУВАННЯ
10
ГОСТІ
У БЕСІДІ
9
ГОСТІ
ОЧІКУВАННІ
0264 308 028 або *8028 Номер доступний з будь-якої національної мережі.
0264 303 003 Пряма лінія для всіх румунів, які перебувають за межами країни, включаючи допомогу англійською мовою.
  • Назад
  • | Дім
  • Політика відповідального розкриття інформації BT

Політика відповідального розкриття інформації BT

Введення

Цей документ містить набір керівних принципів щодо процесу відповідального розкриття інформації, який визначається в ISO / IEC 29147 як процес, за допомогою якого постачальники та шукачі вразливостей можуть спільно працювати у пошуку рішень, які зменшують ризики, пов'язані з вразливістю. Крім того, це являє собою зобов'язання Banca Transilvania забезпечити постійне вдосконалення практики безпеки з метою захисту інформації наших клієнтів. Ця політика призначена для надання дослідникам безпеки керівних принципів щодо активів і видів досліджень, які вважаються в масштабі, і процесу звітування про вразливість.

З огляду на те, що дослідник безпеки буде дотримуватися наступних умов, Banca Transilvania визнає, що ідентифікація вразливості була проведена сумлінно, і не буде проводити жодних юридичних дій.

Принципи

  • Будь-яке тестування або дослідження повинні проводитися проти дозволених систем, не впливаючи на функціональність наших послуг.
  • Відповідно до принципу відповідального розкриття, дослідник безпеки повинен встановити зв'язок з призначеною точкою контакту і повідомити про будь-яку виявлену вразливість.
  • Якщо вразливість виявлено, будь ласка, зверніться до розділу Звітування про вразливість, щоб знайти відомості про те, як зв'язатися з нами.
  • Будь ласка, дайте нашій команді розумну кількість часу, щоб відповісти на ваш звіт.
  • Після виявлення вразливості дослідник повинен припинити будь-яку діяльність, яка може призвести до компромісу або може вплинути на цілісність послуг і систем Banca Transilvania.
  • Після того, як вразливість була підтверджена, ми беремо на себе зобов'язання вирішити проблему протягом 60 днів.

Масштаб

На ці активи поширюється така політика:

  • Всі послуги в рамках AS34184 і AS34358.

Вразливості в області

Такі дефекти підпадають під дію цієї політики:

  • Неправильна конфігурація безпеки сервера - Використання облікових даних за замовчуванням, вразливість реалізації CAPTCHA, небезпечне завантаження файлів, обмеження швидкості у формі, неправильне налаштування DNS, що призводить до поглинання субдомену з високим впливом тощо.
  • Зламана автентифікація та управління сеансом - обхід автентифікації, поглинання облікового запису, автентифікація другого фактора (2FA) обхід і т.д.
  • Конфіденційна експозиція даних - Розкриття секретів для загальнодоступних активів, таких як жорстко закодовані паролі, конфіденційні дані через незашифроване з'єднання тощо.
  • Ін'єкція на стороні сервера - LFI, RFI, RCE, SQLi, XXE і т.д.
  • Міжсайтові сценарії - зберігаються, відображаються, DOM.
  • Відмова в обслуговуванні.

Поза scope методи тестування та вразливості

Наступні методи тестування (тобто види досліджень) і вразливості не підпадають під дію цієї політики:

  • Фізичне тестування проти об'єктів Banca Transilvania / Власність.
  • Фішинг (або співробітника, або клієнта/ користувача послуг Banca Transilvania).
  • Спуфінг електронної пошти.
  • Політики/конфігурації найкращої практики автентифікації електронної пошти (записи DKIM, SPF тощо).
  • DDoS.
  • Відсутність захисних заголовків (Суворий транспорт-безпека, X-Frame-Options, X-Webkit-CSP і т.д.).
  • Недоліки, що впливають на користувачів застарілих браузерів і плагінів.
  • Людина в середині (MITM) атака доказ концепції.
  • Self XSS.
  • Банер захоплення.
  • Http трасування / параметри методи включений.
  • CSRF з мінімальним впливом (логін, вихід і т.д.).
  • Відкрити переспрямування (на основі POST або заголовка).
  • Clickjacking або інші подібні методи атаки.
  • Одноразові адреси електронної пошти, дозволені при реєстрації.
  • Відсутність заплутування.
  • Впорскування заголовка без очевидного впливу.
  • Відсутність прапорів файлів cookie secure та HTTPOnly (критичні системи все ще можуть бути в області).
  • Статичний вміст, що подається через HTTP.
  • Слабкі політики паролів.
  • Перерахування імені користувача та облікового запису.

Повідомлення про дефект

Якщо ви виявили вразливість або у вас виникли питання, будь ласка, зв'яжіться з нами за наступною адресою електронної пошти: cybersec@btrl.ro.

Для того, щоб забезпечити конфіденційність і цілісність, будь ласка, використовуйте ключ PGP 0x6F077A29C359A429 для шифрування зв'язку. Ви можете знайти наш файл безпеки.txt за наступною адресою:

Файл безпеки
z TXT

Зобов'язання щодо конфіденційності

Може включати, але не обмежуючись ними: інформацію, пов'язану з клієнтами, фінансову або особисту інформацію, інформацію, пов'язану з вразливими активами.

Дослідник безпеки погоджується з тим, що вони не будуть розкривати жодного з перерахованих вище третіх сторін без угоди Banca Transilvania. Таким чином, будь-які потенційні звіти про вразливість слід розглядати як конфіденційну інформацію.