Blackbone tratează securitatea informației ca discipline core, nu ca add-on. Programul nostru este aliniat cu ISO/IEC 27001:2022, OWASP ASVS L2, NIST CSF 2.0, precum și cu obligațiile aplicabile din Directiva (UE) 2022/2555 (NIS2) și transpunerea acesteia în legislația națională (Legea nr. 58/2023).
1. Cadru de securitate
- Politică de securitate aprobată anual de management.
- Inventar de active și clasificare a informației pe niveluri de senzitivitate.
- Evaluări de risc anuale și ad-hoc pentru proiecte cu risc ridicat.
- Secure SDLC: threat modeling, code review, SAST, DAST, SCA, pentest.
- Plan de continuitate (BCP) și disaster recovery (DRP).
2. Controale tehnice
- Criptare la rest: AES-256-GCM pentru baze de date, S3/R2 server-side encryption.
- Criptare în tranzit: TLS 1.3 cu cipher suites moderne, HSTS preload, certificate Let's Encrypt / Cloudflare.
- Autentificare: SSO via OIDC unde este posibil, MFA obligatorie pentru toți membrii echipei, vault de secrete (1Password/HashiCorp Vault).
- Gestionare acces: least-privilege, RBAC, just-in-time elevation, log centralizat al acțiunilor admin.
- Hardening: imagini bazate pe distroless, scanare automată CVE (Trivy, Snyk), patch SLA: critical 24h, high 7 zile.
- Backup: snapshot zilnic + replicare cross-region pentru date critice, teste de restore trimestriale.
- Monitorizare: centralizare log-uri (Datadog/Loki), detecție anomalii, alerte 24/7 pentru evenimente critice.
3. Controale organizatorice
- Verificări de background pentru personalul cu acces la date sensibile.
- Training de securitate obligatoriu la onboarding și anual.
- Politica de „clean desk" și de gestionare dispozitive (MDM).
- Acorduri de confidențialitate (NDA) cu toți colaboratorii.
- Audit-uri interne anuale și externe periodice.
4. NIS2 & DNSC
Blackbone monitorizează aplicabilitatea Directivei NIS2 (în vigoare prin Legea 58/2023). Pentru clienții care intră în sfera NIS2 (entități esențiale / importante), oferim suport în conformitate cu obligațiile de raportare către DNSC (Directoratul Național de Securitate Cibernetică). Termenul de raportare a incidentelor majore este 24 de ore (notificare timpurie) + 72 de ore (raport intermediar) + 1 lună (raport final).
5. Programul Responsible Disclosure
Apreciem munca cercetătorilor în securitate. Dacă descoperi o vulnerabilitate în orice asset Blackbone, te rugăm să ne contactezi conform procedurii de mai jos.
5.1 Cum raportezi
- Email: security@blackbone.ro
- Subject: „[Vulnerability Disclosure] scurt rezumat"
- Conținut: pași de reproducere, impact, PoC, suggested fix (opțional). Folosește PGP dacă raportul conține date sensibile (cheie publicată la
blackbone.ro/.well-known/security.txt).
5.2 Domeniul programului
- *.blackbone.ro și subdomenii proprii.
- Aplicațiile mobile publicate sub Blackbone SRL.
- API-uri publice Blackbone documentate.
5.3 Out-of-scope
- Atacuri DoS / DDoS, spam, social engineering împotriva angajaților.
- Atacuri fizice asupra birourilor.
- Vulnerabilități în servicii ale terților (raportează direct furnizorului).
- Best-practice non-impactante (lipsa headere fără PoC).
5.4 Safe harbor
Atâta timp cât respecți domeniul programului, nu accesezi date care nu îți aparțin, nu întrerupi serviciile și ne acorzi 90 de zile pentru remediere înainte de divulgare publică, nu vom acționa civil sau penal împotriva ta și vom intervenii pentru a-ți proteja statutul în relația cu autoritățile.
5.5 SLA răspuns
- Confirmare primire: 2 zile lucrătoare.
- Triaj inițial și evaluare impact: 5 zile lucrătoare.
- Remediere conform severității (CVSS): critical 7 zile, high 30 zile, medium 90 zile.
- Notificare reporter la închidere.
6. Incident response
Blackbone are un plan documentat de răspuns la incidente, exersat semestrial. În cazul unui incident care implică date personale, notificăm ANSPDCP în maximum 72h (art. 33 GDPR) și clienții afectați direct. Pentru incidente cibernetice care intră sub NIS2, notificăm DNSC conform termenelor legale.
7. Contact
Pentru orice întrebare privind securitatea Blackbone, scrie la security@blackbone.ro.