Penetration Testing
Testare continuă automatizată, pentest anual independent și dreptul clientului de a testa
Programul de Testare a Securității
Platforma SSM.ro aplică un program pe două niveluri: testare continuă automată și penetration testing independent periodic.
Testare Continuă de Securitate
Codul sursă și dependențele aplicației sunt scanate în mod continuu:
| Tip de scanare | Scope | Frecvență |
|---|---|---|
| Analiză statică a codului (SAST) | Detectarea vulnerabilităților în codul aplicației | Continuu, la fiecare build |
| Scanare compoziție software (SCA) | Detectarea vulnerabilităților în dependențele server-side și client-side | Continuu, la fiecare build |
Constatările sunt triate și remediate în cadrul ciclului standard de dezvoltare, conform SLA-urilor de patching definite.
Penetration Testing Independent
Platforma este supusă pentest-urilor anuale conduse de terțe părți independente, în cadrul angajamentelor comandate de clienți enterprise.
Aspecte importante:
- Rapoartele rezultante sunt proprietatea confidențială a clienților care le-au comandat
- Rapoartele sunt acoperite de acorduri de confidențialitate (NDA)
- Rapoartele nu sunt împărtășite cu alți clienți sau auditori
Dreptul Clientului de a Testa
Unde un client necesită asigurare independentă, clientul poate — la cerere și în baza unui acord de reguli de angajament coordonate — să efectueze propriul pentest al platformei SSM.ro în cadrul propriului tenant.
Furnizarea unui raport terț comandat de alt client nu va fi oferită ca alternativă.
Acoperire și Scope
Testarea se aplică modelului Partajat (multi-tenant). Implementările Enterprise (single-tenant/dedicat) sunt evaluate separat.
Scopul testării acoperă:
- Aplicația web SSM.ro (autentificare, autorizare, RBAC, izolare tenant)
- Endpoint-uri API
- Mecanismele de upload documente
- Fluxul de semnare electronică
- Configurarea infrastructurii (în limitele accesului disponibil)