{"id":151278,"date":"2024-02-15T17:00:26","date_gmt":"2024-02-15T17:00:26","guid":{"rendered":"https:\/\/bas-ip.com\/security-policy\/"},"modified":"2025-11-26T14:46:55","modified_gmt":"2025-11-26T14:46:55","slug":"security-policy","status":"publish","type":"page","link":"https:\/\/bas-ip.com\/hr\/security-policy\/","title":{"rendered":"Sigurnosna politika"},"content":{"rendered":"<h1 class=\"wp-block-heading\">Pravila o otkrivanju ranjivosti<\/h1>\n\n\n\n<h1 class=\"wp-block-heading\">Op\u0107e informacije<\/h1>\n\n\n\n<p>BAS-IP slijedi vode\u0107e industrijske prakse u upravljanju i odgovaranju na sigurnosne ranjivosti otkrivene u na\u0161im proizvodima. Nemogu\u0107e je jam\u010diti da su proizvodi i usluge koje pru\u017ea na\u0161a tvrtka potpuno bez ranjivosti. To nije jedinstvena zna\u010dajka, ve\u0107 uobi\u010dajeno stanje za sav softver i usluge, ali mo\u017eemo jam\u010diti da \u0107emo u svim fazama razvoja ulagati napore kako bismo identificirali i eliminirali potencijalne ranjivosti, \u010dime smanjujemo rizik povezan s primjenom BAS-IP proizvoda i usluga u okru\u017eenjima korisnika.<\/p>\n\n\n\n<p>BAS-IP prepoznaje da neki standardni mre\u017eni protokoli i usluge mogu imati inherentne slabosti koje se mogu iskoristiti. Iako BAS-IP nije odgovoran za te protokole i usluge, pru\u017eamo preporuke za smanjenje rizika povezanih s BAS-IP proizvodima, softverom i <a href=\"https:\/\/basip.atlassian.net\/wiki\/spaces\/HP\/pages\/5046705\/The+practice+of+building+IP+intercom+systems\" target=\"_blank\" rel=\"noopener\">uslugama u obliku raznih vodi\u010da<\/a>.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">\u0160to Politika pokriva<\/h1>\n\n\n\n<p>Politika upravljanja ranjivostima opisana u ovom dokumentu primjenjuje se na sve proizvode, softver i usluge pod markom BAS-IP.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">\u0160to Politika ne pokriva<\/h1>\n\n\n\n<p>Neke ranjivosti nisu pokrivene politikom upravljanja ranjivostima BAS-IP-a. Molimo vas da ne \u0161aljete izvje\u0161\u0107a o ranjivostima koja nisu pokrivena politikom upravljanja ranjivostima na <a href=\"mailto:security@bas-ip.com\" data-type=\"link\" data-id=\"security@bas-ip.com\">security@bas-ip.com<\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ranjivosti koje zahtijevaju <strong>visoke privilegije<\/strong> i\/ili <strong>socijalni in\u017eenjering<\/strong> koje se pokre\u0107u\/izvr\u0161avaju s root\/administrator pristupom i\/ili zahtijevaju <strong>slo\u017een<\/strong> korisni\u010dki interakciju<\/li>\n\n\n\n<li><strong>Preuzimanje poddomene<\/strong> (<em>Subdomain takeover<\/em>), na primjer, preuzimanje kontrole nad \u010dvorom koji pokazuje na trenutno neiskori\u0161tenu uslugu<\/li>\n\n\n\n<li><strong>Neispravne korisni\u010dke konfiguracije<\/strong> koje se mogu sprije\u010diti slije\u0111enjem BAS-IP vodi\u010da<\/li>\n\n\n\n<li>Ranjivosti u sadr\u017eaju ili aplikacijama koje su stvorili <strong>korisnici ili partneri tre\u0107ih strana<\/strong>, kao \u0161to su aplikacije koje se mogu preuzeti i pokrenuti na BAS-IP ure\u0111ajima<\/li>\n\n\n\n<li>Ranjivosti <strong>Cross-Site Request Forgery (CSRF)<\/strong> ili <strong>Cross-Site Scripting (XSS)<\/strong> koje prevare korisnika da posjeti zlonamjernu web stranicu ili klikne na prikrivenu poveznicu prilikom pristupa web su\u010delju BAS-IP ure\u0111aja<\/li>\n\n\n\n<li>Ranjivosti <strong>otvorenog koda tre\u0107ih strana<\/strong> registrirane s CVE identifikatorom, koje se nalaze u softverskim komponentama ili paketima koji se koriste u BAS-IP proizvodima, softveru ili uslugama. Uobi\u010dajeni primjeri takvih softverskih komponenti uklju\u010duju Linux kernel, OpenSSL, AOSP i druge<\/li>\n\n\n\n<li><strong>Nedostatak HTTP(S) sigurnosnih zaglavlja<\/strong>, kao \u0161to je X-Frame-Options<\/li>\n\n\n\n<li>Izvje\u0161\u0107a o ranjivostima generirana od strane <strong>skenera mre\u017ene sigurnosti tre\u0107ih strana<\/strong><\/li>\n\n\n\n<li><strong>Nepodr\u017eani<\/strong> proizvodi\/softver\/usluge<\/li>\n\n\n\n<li>Testovi <strong>Uskra\u0107ivanja mre\u017ene usluge<\/strong> (<em>DoS ili DDoS<\/em>) ili drugi testovi koji prekidaju pristup sustavu ili podacima ili uzrokuju \u0161tetu na njima<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Obveze<\/h1>\n\n\n\n<p>BAS-IP cijeni i poti\u010de napore istra\u017eiva\u010da u identificiranju i prijavljivanju ranjivosti u BAS-IP proizvodima, softveru i uslugama. Slijede\u0107i proces odgovornog otkrivanja, tim za sigurnost proizvoda BAS-IP \u0107e, najbolje \u0161to mo\u017ee, po\u0161tovati interese istra\u017eiva\u010da kroz me\u0111usobnu suradnju i transparentnost tijekom cijelog procesa otkrivanja.<\/p>\n\n\n\n<p>Tvrtka BAS-IP o\u010dekuje da istra\u017eiva\u010di <strong>ne\u0107e otkriti ranjivosti do isteka 90-dnevnog razdoblja ili me\u0111usobno dogovorenog datuma<\/strong> te da \u0107e provoditi istra\u017eivanje ranjivosti u <strong>zakonskim okvirima<\/strong>, bez nano\u0161enja \u0161tete, otkrivanja povjerljivosti ili ugro\u017eavanja sigurnosti Tvrtke BAS-IP, njezinih partnera i korisnika.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Upravljanje ranjivostima<\/h1>\n\n\n\n<p>Tvrtka BAS-IP procjenjuje ranjivosti koriste\u0107i dobro poznati sustav <a href=\"https:\/\/www.first.org\/cvss\/calculator\/3-1\" target=\"_blank\" rel=\"noopener\">ocjenjivanja <strong>CVSS<\/strong><\/a>.<\/p>\n\n\n\n<p>\u0160to se ti\u010de ranjivosti komponenti otvorenog koda, BAS-IP mo\u017ee procijeniti ranjivost ovisno o njezinoj va\u017enosti u kontekstu na\u010dina na koji BAS-IP preporu\u010duje implementaciju svojih proizvoda, softvera i usluga. Sigurnosne konzultacije obi\u010dno se pru\u017eaju samo za ranjivosti specifi\u010dne za BAS-IP.<\/p>\n\n\n\n<p><strong>Prioritetna distribucija<\/strong> kada je ranjivost procijenjena i podlije\u017ee sanaciji:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVSS 3.1 high\/critical (7.0 \u2013 10.0)<\/strong><br>BAS-IP nastoji sanirati ranjivost prije ili unutar <strong>4 tjedna<\/strong> nakon vanjskog otkrivanja. Za komponente otvorenog koda, vremenski okvir je obi\u010dno du\u017ei, budu\u0107i da BAS-IP ovisi o vanjskim stranama za informacije, popravke i\/ili provjeru<\/li>\n\n\n\n<li><strong>CVSS 3.1 medium (4.0 \u2013 6.9)<\/strong><br>BAS-IP nastoji sanirati ranjivost, obi\u010dno unutar <strong>2-3 mjeseca<\/strong><\/li>\n\n\n\n<li><strong>CVSS 3.1 low (0.1 \u2013 3.9)<\/strong><br>BAS-IP planira sanirati ranjivost u <strong>sljede\u0107em planiranom izdanju<\/strong><\/li>\n\n\n\n<li>Podr\u017eani softver\/usluge<br>Faza podr\u0161ke softvera\/usluga BAS-IP odre\u0111uje se unutar cjelokupnog procesa \u017eivotnog ciklusa softvera. BAS-IP softver\/usluge obi\u010dno se podr\u017eavaju <strong>1 godinu nakon objave kraja \u017eivotnog vijeka<\/strong> (<em>end-of-life<\/em>).<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Prijavljivanje ranjivosti<\/h1>\n\n\n\n<p>BAS-IP neprestano radi na identificiranju i ubla\u017eavanju rizika povezanih s ranjivostima u na\u0161im proizvodima. Me\u0111utim, ako ste otkrili ranjivost sustava sigurnosti povezanu s proizvodom, softverom ili uslugom BAS-IP-a, strogo preporu\u010dujemo da <strong>odmah<\/strong> prijavite problem. Pravovremeno prijavljivanje ranjivosti sustava sigurnosti klju\u010dno je za smanjenje vjerojatnosti njihove prakti\u010dne upotrebe. Sigurnosne ranjivosti povezane s komponentama softvera otvorenog koda trebaju se prijaviti izravno odgovornoj organizaciji.<\/p>\n\n\n\n<p>Krajnji korisnici, partneri, dobavlja\u010di, industrijske grupe i neovisni istra\u017eiva\u010di koji su otkrili potencijalnu ranjivost poti\u010du se da prijave svoje nalaze na <strong><a href=\"mailto:security@bas-ip.com\">security@bas-ip.com<\/a><\/strong> ili ispunjavanjem <strong><a href=\"https:\/\/docs.google.com\/forms\/d\/e\/1FAIpQLSdetHDUfdt0Fxk9ctY1-XWJARmQA_2-wBeXVbX2fnweQasVAA\/viewform\" target=\"_blank\" rel=\"noopener\">anonimnog obrasca<\/a><\/strong>.<\/p>\n\n\n\n<p><strong>Podneseno izvje\u0161\u0107e treba uklju\u010divati:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ehni\u010dke informacije o potencijalnoj ranjivosti<\/li>\n\n\n\n<li>Korake za reprodukciju<\/li>\n\n\n\n<li>Procijenjeni utjecaj i ozbiljnost u slu\u010daju eksploatacije prema CVSS 3.1<\/li>\n\n\n\n<li>Vlastitu politiku otkrivanja ranjivosti istra\u017eiva\u010da, ako postoji<\/li>\n<\/ul>\n\n\n\n<p>Od Tvrtke BAS-IP mo\u017eete o\u010dekivati sljede\u0107e:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Vrijeme prvog odgovora \u2014 unutar <strong>3 radna dana<\/strong> nakon primitka po\u010detne poruke<\/li>\n\n\n\n<li>Vrijeme obrade (od trenutka primitka prvog odgovora) \u2014 unutar <strong>10 radnih dana<\/strong><\/li>\n\n\n\n<li>Bit \u0107emo \u0161to transparentniji u pogledu koraka koje poduzimamo u procesu sanacije, uklju\u010duju\u0107i pitanja i probleme koji mogu odgoditi rje\u0161enje<\/li>\n\n\n\n<li>Odr\u017eavat \u0107emo otvoren dijalog za raspravu o problemima<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Otkrivanje ranjivosti<\/h2>\n\n\n\n<p>Nakon \u0161to se izvje\u0161\u0107e o otkrivenoj ranjivosti ispita i potvrdi da je autenti\u010dno, BAS-IP zapo\u010dinje proces <strong>odgovornog otkrivanja<\/strong>. BAS-IP nastoji sura\u0111ivati s istra\u017eiva\u010dem u vezi s daljnjim detaljima, kao \u0161to su procjena CVSS 3.1, sadr\u017eaj sigurnosne preporuke i\/ili priop\u0107enja za javnost (ako je primjenjivo), te datum vanjskog otkrivanja.<\/p>\n\n\n\n<p>Nakon dogovora izme\u0111u Tvrtke BAS-IP i istra\u017eiva\u010da, ranjivost \u0107e biti otkrivena za vanjske svrhe objavljivanjem sigurnosnih preporuka i\/ili priop\u0107enja za javnost od strane Tvrtke BAS-IP.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Povijest promjena dokumenta<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><th>Verzija<\/th><th>Datum<\/th><th>Opis<\/th><\/tr><tr><td>1.0<\/td><td>15.02.2024<\/td><td>Prvo izdanje<\/td><\/tr><\/tbody><\/table><\/figure>","protected":false},"excerpt":{"rendered":"<p>Pravila o otkrivanju ranjivosti Op\u0107e informacije BAS-IP slijedi vode\u0107e industrijske prakse u upravljanju i odgovaranju na sigurnosne ranjivosti otkrivene u na\u0161im proizvodima. Nemogu\u0107e je jam\u010diti da su proizvodi i usluge koje pru\u017ea na\u0161a tvrtka potpuno bez ranjivosti. To nije jedinstvena zna\u010dajka, ve\u0107 uobi\u010dajeno stanje za sav softver i usluge, ali mo\u017eemo jam\u010diti da \u0107emo u [&hellip;]<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"inline_featured_image":false,"footnotes":""},"class_list":["post-151278","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/pages\/151278","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/comments?post=151278"}],"version-history":[{"count":2,"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/pages\/151278\/revisions"}],"predecessor-version":[{"id":151344,"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/pages\/151278\/revisions\/151344"}],"wp:attachment":[{"href":"https:\/\/bas-ip.com\/hr\/wp-json\/wp\/v2\/media?parent=151278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}