{"id":151316,"date":"2024-02-15T17:00:26","date_gmt":"2024-02-15T17:00:26","guid":{"rendered":"https:\/\/bas-ip.com\/security-policy\/"},"modified":"2025-11-28T12:04:09","modified_gmt":"2025-11-28T12:04:09","slug":"security-policy","status":"publish","type":"page","link":"https:\/\/bas-ip.com\/ro\/security-policy\/","title":{"rendered":"Politica de securitate"},"content":{"rendered":"<h1 class=\"wp-block-heading\">Politica de dezv\u0103luire a vulnerabilit\u0103\u021bilor<\/h1>\n\n\n\n<h1 class=\"wp-block-heading\">Informa\u021bii Generale<\/h1>\n\n\n\n<p>BAS-IP urmeaz\u0103 practicile de v\u00e2rf din industrie \u00een gestionarea \u0219i r\u0103spunsul la vulnerabilit\u0103\u021bile de securitate descoperite \u00een produsele noastre. Este imposibil de garantat c\u0103 produsele \u0219i serviciile furnizate de compania noastr\u0103 sunt complet lipsite de vulnerabilit\u0103\u021bi. Aceasta nu este o caracteristic\u0103 unic\u0103, ci mai degrab\u0103 o condi\u021bie comun\u0103 pentru toate programele software \u0219i serviciile, dar putem garanta c\u0103, \u00een toate etapele de dezvoltare, vom depune eforturi pentru a identifica \u0219i elimina poten\u021bialele vulnerabilit\u0103\u021bi, reduc\u00e2nd astfel riscul asociat cu implementarea produselor \u0219i serviciilor BAS-IP \u00een mediile clien\u021bilor.<\/p>\n\n\n\n<p>BAS-IP recunoa\u0219te c\u0103 unele protocoale \u0219i servicii de re\u021bea standard pot avea sl\u0103biciuni inerente care pot fi exploatate. De\u0219i BAS-IP nu este responsabil pentru aceste protocoale \u0219i servicii, oferim recomand\u0103ri pentru reducerea riscurilor asociate cu produsele, software-ul \u0219i serviciile BAS-IP sub <a href=\"https:\/\/basip.atlassian.net\/wiki\/spaces\/HP\/pages\/5046705\/The+practice+of+building+IP+intercom+systems\" target=\"_blank\" rel=\"noopener\">forma diferitelor ghiduri<\/a>.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Ce Acoper\u0103 Politica<\/h1>\n\n\n\n<p>Politica de gestionare a vulnerabilit\u0103\u021bilor descris\u0103 \u00een acest document se aplic\u0103 tuturor produselor, software-ului \u0219i serviciilor sub marca BAS-IP.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Ce Nu Acoper\u0103 Politica<\/h1>\n\n\n\n<p>Unele vulnerabilit\u0103\u021bi nu sunt acoperite de politica de gestionare a vulnerabilit\u0103\u021bilor BAS-IP. V\u0103 rug\u0103m s\u0103 nu trimite\u021bi rapoarte de vulnerabilitate care nu sunt acoperite de politica de gestionare a vulnerabilit\u0103\u021bilor la <a href=\"mailto:security@bas-ip.com\" data-type=\"link\" data-id=\"security@bas-ip.com\">security@bas-ip.com<\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Vulnerabilit\u0103\u021bile care necesit\u0103 <strong>privilegii \u00eenalte<\/strong> \u0219i\/sau <strong>inginerie social\u0103<\/strong>, care sunt declan\u0219ate\/executate cu acces <em>root<\/em>\/administrator \u0219i\/sau necesit\u0103 <strong>interac\u021biune complex\u0103<\/strong> din partea utilizatorului<\/li>\n\n\n\n<li><strong>Prevederea de subdomeniu<\/strong> (<em>Subdomain takeover<\/em>), de exemplu, ob\u021binerea controlului asupra unui nod care indic\u0103 un serviciu neutilizat \u00een prezent<\/li>\n\n\n\n<li><strong>Configur\u0103ri incorecte ale utilizatorului<\/strong> care pot fi prevenite urm\u00e2nd ghidurile BAS-IP<\/li>\n\n\n\n<li>Vulnerabilit\u0103\u021bi \u00een con\u021binut sau aplica\u021bii create de <strong>utilizatori sau parteneri ter\u021bi<\/strong>, cum ar fi aplica\u021biile care pot fi desc\u0103rcate \u0219i rulate pe dispozitive BAS-IP<\/li>\n\n\n\n<li>Vulnerabilit\u0103\u021bi <strong>Cross-Site Request Forgery (CSRF)<\/strong> sau <strong>Cross-Site Scripting (XSS)<\/strong> care p\u0103c\u0103lesc utilizatorul s\u0103 viziteze un site web mali\u021bios sau s\u0103 fac\u0103 clic pe un link deghizat la accesarea interfe\u021bei web a dispozitivelor BAS-IP<\/li>\n\n\n\n<li><strong>Vulnerabilit\u0103\u021bi <em>open-source<\/em> de la ter\u021bi<\/strong> \u00eenregistrate cu un identificator CVE, situate \u00een componente software sau pachete utilizate \u00een produsele, software-ul sau serviciile BAS-IP. Exemple comune de astfel de componente software includ nucleul Linux, OpenSSL, AOSP \u0219i altele<\/li>\n\n\n\n<li><strong>Lipsa antetelor de securitate<\/strong> HTTP(S), cum ar fi X-Frame-Options<\/li>\n\n\n\n<li>Rapoarte de vulnerabilitate generate de <strong>scanere de securitate de re\u021bea de la ter\u021bi<\/strong><\/li>\n\n\n\n<li>Produse\/software\/servicii <strong>neacceptate<\/strong><\/li>\n\n\n\n<li>Teste de <strong>Refuz de Serviciu de Re\u021bea (DoS sau DDoS)<\/strong> sau alte teste care perturb\u0103 accesul la sistem sau date sau le provoac\u0103 daune<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Obliga\u021bii<\/h1>\n\n\n\n<p>BAS-IP pre\u021buie\u0219te \u0219i \u00eencurajeaz\u0103 eforturile cercet\u0103torilor \u00een identificarea \u0219i raportarea vulnerabilit\u0103\u021bilor \u00een produsele, software-ul \u0219i serviciile BAS-IP. Urm\u00e2nd procesul de divulgare responsabil\u0103, echipa de securitate a produselor BAS-IP va respecta, pe c\u00e2t posibil, interesele cercet\u0103torilor prin cooperare reciproc\u0103 \u0219i transparen\u021b\u0103 pe tot parcursul procesului de divulgare.<\/p>\n\n\n\n<p>Compania BAS-IP se a\u0219teapt\u0103 ca cercet\u0103torii <strong>s\u0103 nu divulge vulnerabilit\u0103\u021bile p\u00e2n\u0103 la expirarea perioadei de 90 de zile sau a unei date convenite reciproc<\/strong> \u0219i s\u0103 efectueze cercetarea vulnerabilit\u0103\u021bilor \u00een <strong>limite legale<\/strong>, f\u0103r\u0103 a provoca daune, a divulga confiden\u021bialitate sau a pune \u00een pericol securitatea Companiei BAS-IP, a partenerilor \u0219i a clien\u021bilor s\u0103i.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Gestionarea Vulnerabilit\u0103\u021bilor (Vulnerability Management)<\/h1>\n\n\n\n<p>Compania BAS-IP evalueaz\u0103 vulnerabilit\u0103\u021bile utiliz\u00e2nd sistemul de evaluare <a href=\"https:\/\/www.first.org\/cvss\/calculator\/3-1\" target=\"_blank\" rel=\"noopener\"><strong>CVSS<\/strong> binecunoscut<\/a>.<\/p>\n\n\n\n<p>\u00cen ceea ce prive\u0219te vulnerabilit\u0103\u021bile componentelor <em>open-source<\/em>, BAS-IP poate evalua vulnerabilitatea \u00een func\u021bie de semnifica\u021bia acesteia \u00een contextul modului \u00een care BAS-IP recomand\u0103 implementarea produselor, software-ului \u0219i serviciilor sale. Consulta\u021biile de securitate sunt de obicei furnizate numai pentru vulnerabilit\u0103\u021bile specifice BAS-IP.<\/p>\n\n\n\n<p><strong>Distribu\u021bia priorit\u0103\u021bilor<\/strong> atunci c\u00e2nd o vulnerabilitate a fost evaluat\u0103 \u0219i este supus\u0103 remedierii:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVSS 3.1 high\/critical (7.0 &#8211; 10.0)<\/strong><br>BAS-IP se str\u0103duie\u0219te s\u0103 remedieze vulnerabilitatea \u00eenainte sau \u00een decurs de <strong>4 s\u0103pt\u0103m\u00e2ni<\/strong> dup\u0103 divulgarea extern\u0103. Pentru componentele <em>open-source<\/em>, termenul este de obicei mai lung, deoarece BAS-IP depinde de p\u0103r\u021bi externe pentru informa\u021bii, remedieri \u0219i\/sau verificare<\/li>\n\n\n\n<li><strong>CVSS 3.1 medium (4.0 &#8211; 6.9)<\/strong><br>BAS-IP urm\u0103re\u0219te s\u0103 remedieze vulnerabilitatea, de obicei \u00een decurs de <strong>2-3 luni<\/strong><\/li>\n\n\n\n<li><strong>CVSS 3.1 low (0.1 &#8211; 3.9)<\/strong><br>BAS-IP pl\u0103nuie\u0219te s\u0103 remedieze vulnerabilitatea \u00een <strong>urm\u0103toarea lansare programat\u0103<\/strong><\/li>\n\n\n\n<li>Software\/Servicii Acceptate<br>Etapa de suport a software-ului\/serviciilor BAS-IP este determinat\u0103 \u00een cadrul procesului general al ciclului de via\u021b\u0103 al software-ului. Software-ul\/serviciile BAS-IP sunt de obicei acceptate timp de <strong>1 an dup\u0103 anun\u021bul de sf\u00e2r\u0219it de via\u021b\u0103<\/strong> (<em>end-of-life<\/em>).<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Raportarea unei Vulnerabilit\u0103\u021bi (Reporting a Vulnerability)<\/h1>\n\n\n\n<p>BAS-IP lucreaz\u0103 constant pentru a identifica \u0219i atenua riscurile asociate cu vulnerabilit\u0103\u021bile \u00een produsele noastre. Cu toate acestea, dac\u0103 a\u021bi descoperit o vulnerabilitate a sistemului de securitate legat\u0103 de un produs, software sau serviciu BAS-IP, v\u0103 recomand\u0103m insistent s\u0103 raporta\u021bi problema <strong>imediat<\/strong>. Raportarea la timp a vulnerabilit\u0103\u021bilor sistemului de securitate este crucial\u0103 pentru reducerea probabilit\u0103\u021bii utiliz\u0103rii lor practice. Vulnerabilit\u0103\u021bile de securitate legate de componentele software <em>open-source<\/em> ar trebui raportate direct organiza\u021biei responsabile.<\/p>\n\n\n\n<p>Utilizatorii finali, partenerii, furnizorii, grupurile din industrie \u0219i cercet\u0103torii independen\u021bi care au descoperit o poten\u021bial\u0103 vulnerabilitate sunt \u00eencuraja\u021bi s\u0103 raporteze descoperirile lor la <strong><a href=\"mailto:security@bas-ip.com\">security@bas-ip.com<\/a><\/strong> sau prin completarea unui <strong><a href=\"https:\/\/docs.google.com\/forms\/d\/e\/1FAIpQLSdetHDUfdt0Fxk9ctY1-XWJARmQA_2-wBeXVbX2fnweQasVAA\/viewform\" target=\"_blank\" rel=\"noopener\">formular anonim<\/a><\/strong>.<\/p>\n\n\n\n<p>Raportul trimis ar trebui s\u0103 includ\u0103:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Informa\u021bii tehnice despre poten\u021biala vulnerabilitate<\/li>\n\n\n\n<li>Pa\u0219ii de reproducere<\/li>\n\n\n\n<li>Impactul \u0219i severitatea estimate \u00een cazul exploat\u0103rii conform CVSS 3.1<\/li>\n\n\n\n<li>Propria politic\u0103 de divulgare a vulnerabilit\u0103\u021bilor a cercet\u0103torului, dac\u0103 exist\u0103<\/li>\n<\/ul>\n\n\n\n<p>V\u0103 pute\u021bi a\u0219tepta la urm\u0103toarele de la Compania BAS-IP:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Timpul p\u00e2n\u0103 la primul r\u0103spuns \u2014 \u00een decurs de <strong>3 zile lucr\u0103toare<\/strong> de la primirea mesajului ini\u021bial<\/li>\n\n\n\n<li>Timpul de procesare (din momentul primirii primului r\u0103spuns) \u2014 \u00een decurs de <strong>10 zile lucr\u0103toare<\/strong><\/li>\n\n\n\n<li>Vom fi c\u00e2t mai transparen\u021bi posibil cu privire la pa\u0219ii pe care \u00eei \u00eentreprindem \u00een procesul de remediere, inclusiv \u00eentreb\u0103rile \u0219i problemele care ar putea \u00eent\u00e2rzia solu\u021bia<\/li>\n\n\n\n<li>Vom men\u021bine un dialog deschis pentru a discuta problemele<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Divulgarea Vulnerabilit\u0103\u021bii<\/h2>\n\n\n\n<p>Odat\u0103 ce raportul unei vulnerabilit\u0103\u021bi descoperite a fost examinat \u0219i confirmat ca fiind autentic, BAS-IP \u00eencepe procesul de <strong>divulgare responsabil\u0103<\/strong>. BAS-IP se str\u0103duie\u0219te s\u0103 colaboreze cu cercet\u0103torul cu privire la detalii suplimentare, cum ar fi evaluarea CVSS 3.1, con\u021binutul recomand\u0103rii de securitate \u0219i\/sau comunicatele de pres\u0103 (dac\u0103 este cazul) \u0219i data divulg\u0103rii externe.<\/p>\n\n\n\n<p>Dup\u0103 un acord \u00eentre Compania BAS-IP \u0219i cercet\u0103tor, vulnerabilitatea va fi divulgat\u0103 \u00een scopuri externe de c\u0103tre Compania BAS-IP prin publicarea de recomand\u0103ri de securitate \u0219i\/sau un comunicat de pres\u0103.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Istoricul Modific\u0103rilor Documentului<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><th>Versiune<\/th><th>Data<\/th><th>Descriere<\/th><\/tr><tr><td>1.0<\/td><td>15.02.2024<\/td><td>Prima lansare<\/td><\/tr><\/tbody><\/table><\/figure>","protected":false},"excerpt":{"rendered":"<p>Politica de dezv\u0103luire a vulnerabilit\u0103\u021bilor Informa\u021bii Generale BAS-IP urmeaz\u0103 practicile de v\u00e2rf din industrie \u00een gestionarea \u0219i r\u0103spunsul la vulnerabilit\u0103\u021bile de securitate descoperite \u00een produsele noastre. Este imposibil de garantat c\u0103 produsele \u0219i serviciile furnizate de compania noastr\u0103 sunt complet lipsite de vulnerabilit\u0103\u021bi. Aceasta nu este o caracteristic\u0103 unic\u0103, ci mai degrab\u0103 o condi\u021bie comun\u0103 [&hellip;]<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"inline_featured_image":false,"footnotes":""},"class_list":["post-151316","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/pages\/151316","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/comments?post=151316"}],"version-history":[{"count":3,"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/pages\/151316\/revisions"}],"predecessor-version":[{"id":151403,"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/pages\/151316\/revisions\/151403"}],"wp:attachment":[{"href":"https:\/\/bas-ip.com\/ro\/wp-json\/wp\/v2\/media?parent=151316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}