BT felelős közzétételi politika
Bevezetés
Ez a dokumentum egy sor iránymutatást tartalmaz a felelős közzététel folyamatára vonatkozóan, amelyet az ISO / IEC 29147 olyan folyamatként határoz meg, amelyen keresztül a gyártók és a sebezhetőség-keresők együttműködhetnek a sebezhetőséggel kapcsolatos kockázatokat csökkentő megoldások megtalálásában. Ez továbbá a Banca Transilvania elkötelezettségét jelenti a biztonsági gyakorlatok folyamatos fejlesztésének biztosítása iránt ügyfeleink adatainak védelme érdekében. Ennek a szabályzatnak az a célja, hogy iránymutatást nyújtson a biztonsági kutatók számára a hatályon belül lévőnek tekintett kutatási eszközökre és típusú kutatásokra és a sebezhetőségi jelentési folyamatra vonatkozóan.
Tekintettel arra, hogy a biztonsági kutató megfelel az alábbi feltételeknek, a Banca Transilvania elismeri, hogy a sebezhetőség azonosítását jóhiszeműen végezték, és nem folytat semmilyen jogi lépést.
Iránymutatások
- Minden vizsgálatot vagy kutatást engedélyezett rendszereken kell elvégezni anélkül, hogy ez befolyásolná szolgáltatásaink funkcionalitását.
- A felelős közzététel elvével összhangban a biztonsági kutatónak kapcsolatot kell létesítenie a kijelölt kapcsolattartó ponttal, és jelentenie kell a feltárt sebezhetőséget.
- Ha biztonsági rést fedeztek fel, kérjük, olvassa el a Biztonsági rés jelentése szakaszt, hogy megtalálja a velünk való kapcsolatfelvétel részleteit.
- Kérjük, hagyjon csapatunknak ésszerű időt arra, hogy válaszoljon a jelentésére.
- A biztonsági rés azonosítását követően a kutatónak abba kell hagynia minden olyan tevékenységet, amely kompromisszumhoz vezethet, vagy befolyásolhatja a Banca Transilvania szolgáltatásainak és rendszereinek integritását.
- A biztonsági rés megerősítése után kötelezettséget vállalunk arra, hogy 60 napon belül megoldjuk a problémát.
Kiterjedés
A következő eszközökre vonatkozik ez a politika:
- Az AS34184 és AS34358 összes szolgáltatása.
Hatókörön belüli biztonsági rések
A következő biztonsági rések tartoznak a szabályzat hatálya alá:
- Kiszolgálóbiztonsági hibás konfiguráció - Alapértelmezett hitelesítő adatok használata, CAPTCHA implementációs biztonsági rés, nem biztonságos fájlfeltöltés, nincs aránykorlátozás az űrlapon, rosszul konfigurált DNS, amely nagy hatású aldomain átvételhez vezet stb.
- Hibás hitelesítés és munkamenet-kezelés - Hitelesítési bypass, fiók átvétele, második tényező hitelesítése (2FA) megkerülése stb.
- Érzékeny adatexpozíció - Titkok közzététele nyilvánosan hozzáférhető eszközökhöz, például kódolt jelszavakhoz, bizalmas adatok titkosítatlan kapcsolaton keresztül stb.
- Szerver oldali befecskendezés - LFI, RFI, RCE, SQLi, XXE stb.
- Cross-Site Scripting - Tárolt, Tükrözött, DOM.
- Szolgáltatásmegtagadás.
Hatókörön kívüli tesztelési módszerek és biztonsági rések
A következő vizsgálati módszerek (azaz a kutatás típusai) és a biztonsági rések nem tartoznak e szabályzat hatálya alá:
- Fizikai tesztelés a Banca Transilvania létesítményei / tulajdona ellen.
- Adathalászat (akár alkalmazott, akár a Banca Transilvania szolgáltatásainak ügyfele/felhasználója).
- E-mail hamisítás.
- E-mailes hitelesítési gyakorlati tanácsok házirendjei/konfigurációi (DKIM, SPF-rekordok stb.).
- DDoS.
- A biztonsági fejlécek hiánya (Strict-Transport-Security, X-Frame-Options, X-Webkit-CSP stb.).
- Az elavult böngészők és bővítmények felhasználóit érintő hibák.
- A Man-in-the-Middle (MITM) támadás bizonyítéka a koncepció.
- Self XSS.
- Banner megragadás.
- HTTP nyomkövetési/beállítási módszerek engedélyezve.
- CSRF minimális hatással (bejelentkezés, kijelentkezés stb.).
- Nyissa meg az átirányításokat (POST vagy fejléc alapú).
- Clickjacking vagy más hasonló támadási módszerek.
- A regisztráció során engedélyezett eldobható e-mail címek.
- Az elhomályosodás hiánya.
- Fejléc injekció kimutatható hatás nélkül.
- A Secure és a HTTPOnly cookie-jelzők hiánya (a kritikus rendszerek továbbra is hatályban lehetnek).
- Http-n keresztül megjelenített statikus tartalom.
- Gyenge jelszóházirendek.
- Felhasználónév és fiók felsorolása.
Biztonsági rés jelentése
Ha biztonsági rést fedezett fel, vagy bármilyen kérdése van, kérjük, vegye fel velünk a kapcsolatot az alábbi e-mail címen: cybersec@btrl.ro.
A bizalmasság és az integritás biztosítása érdekében kérjük, használja a PGP-kulcs 0x6F077A29C359A429 a kommunikáció titkosításához. Biztonságunkat.txt fájlunkat az alábbi címen találja:
Titoktartási kötelezettségek
Ide tartozhat, de nem kizárólagosan: ügyféllel kapcsolatos információk, pénzügyi vagy személyazonosításra alkalmas információk, a kiszolgáltatott eszközökkel kapcsolatos információk.
A biztonsági kutató egyetért azzal, hogy a fentiek egyikét sem hozzák nyilvánosságra harmadik félnek a Banca Transilvania beleegyezése nélkül. Ezért minden lehetséges sebezhetőségi jelentést bizalmas információként kell kezelni.
Bevásárlókártyák
Kártyák lejben
Az ifjúsági kártya
