POLITICA DE DEZVĂLUIRE A VULNERABILITĂȚILOR

Vulnerability Disclosure Policy

Platforma ARTEMIS — operată de CAI Technology S.R.L.

Aliniată cu ISO/IEC 29147:2018, RFC 9116, Directiva NIS2 (UE 2022/2555), Legea nr. 58/2023 și OUG nr. 155/2024

Versiunea: v1.0 ARTEMIS • Data publicării: 2026-05-06 • Data intrării în vigoare: 2026-05-06

1.1. Active EXCLUSE din scope

NU sunt acoperite de această politică:

• Sistemele subprocesatorilor (AWS, Azure, Stripe etc.) — raportați acolo direct, conform politicilor lor;

• Sistemele clienților CAI Technology S.R.L.;

• Site-uri sau aplicații third-party care doar fac link către ARTEMIS;

• Vulnerabilități deja cunoscute, raportate anterior și în curs de remediere.

2. Reguli de testare permisă (Safe Harbor)

CAI Technology S.R.L. nu va iniția acțiuni juridice și nu va raporta către autorități cercetătorii care, cu bună-credință, respectă următoarele reguli:

• au atins doar contul propriu sau conturi de test create special pentru demonstrarea vulnerabilității;

• nu au accesat, modificat sau distrus date ale altor Utilizatori;

• nu au exfiltrat date dincolo de minimul necesar pentru demonstrare (proof-of-concept);

• nu au efectuat atacuri DoS / DDoS / brute force / spam;

• nu au folosit inginerie socială împotriva personalului CAI Technology S.R.L.;

• nu au făcut publice detaliile vulnerabilității înainte de remediere;

• au respectat termenul de divulgare coordonată (a se vedea Secțiunea 5).

Cercetătorii care respectă aceste reguli sunt protejați de „safe harbor”: CAI Technology S.R.L. se obligă să nu inițieze acțiuni juridice civile sau penale, să nu solicite organelor de urmărire penală investigarea cercetătorului și să nu blocheze accesul la Platformă pe perioada testării coordonate.

3.1. Conținutul raportului

Pentru a accelera triajul, includeți în raport, pe cât posibil:

• descrierea vulnerabilității și impactul potențial;

• componenta afectată (URL, endpoint, parametru);

• pași detaliați pentru reproducere (proof-of-concept);

• clasificare CVSS 3.1 / 4.0 dacă o aveți;

• recomandări de remediere (opțional);

• modul în care doriți să fiți creditat (anonim, pseudonim, nume real).

4. Probleme de regulă out-of-scope

Următoarele tipuri de raportări sunt, de regulă, out-of-scope și nu vor primi recompense — chiar dacă, în context, pot deveni relevante:

• absența unor headere de securitate (HSTS, CSP, X-Frame-Options) — fără demonstrarea unui impact practic;

• teorii fără demonstrare practică (theoretical issues);

• probleme legate de versiuni învechite ale browserelor (sub IE 11 sau echivalent);

• self-XSS, social engineering, phishing al utilizatorilor;

• vulnerabilități cunoscute în biblioteci open-source utilizate (raportați upstream);

• rate limiting absent pe formulare publice (cu excepția cazurilor de abuz comercial dovedit);

• erori de configurare DMARC/SPF dacă nu pot fi exploatate practic;

• expunere de informații publice non-sensibile;

• clickjacking pe pagini fără acțiuni cu impact.

5. Calendar de divulgare coordonată

CAI Technology S.R.L. se angajează la următoarele termene:

• Confirmare primire raport: în 48 de ore lucrătoare;

• Triaj inițial și clasificare: 5 zile lucrătoare;

• Plan de remediere și calendar comunicat raportorului: 14 zile;

• Remediere a vulnerabilităților critice (CVSS ≥ 9.0): 30 de zile;

• Remediere a vulnerabilităților majore (CVSS 7.0–8.9): 60 de zile;

• Remediere a vulnerabilităților medii (CVSS 4.0–6.9): 90 de zile;

• Remediere a vulnerabilităților minore (CVSS \< 4.0): 180 de zile;

• Divulgare publică (CVE): coordonată cu raportorul după remediere; nu mai târziu de 90 de zile de la confirmarea remedierii, cu excepția cazurilor în care raportorul agreează altfel.

Dacă termenele nu pot fi respectate, CAI Technology S.R.L. comunică în mod transparent motivele și un calendar revizuit.

6. Recompense (bug bounty)

7. Cadru legal

Procedura este aliniată cu:

• ISO/IEC 29147:2018 — Vulnerability disclosure;

• ISO/IEC 30111:2019 — Vulnerability handling processes;

• RFC 9116 — A File Format to Aid in Security Vulnerability Disclosure (security.txt);

• Directiva (UE) 2022/2555 (NIS2) — gestionarea coordonată a vulnerabilităților;

• Legea nr. 58/2023 privind securitatea cibernetică în România și OUG nr. 155/2024 (transpunere NIS2);

• Regulamentul (UE) 2024/2847 (Cyber Resilience Act) — în limitele de aplicabilitate.

8. Hall of Fame / mulțumiri

Cu acordul cercetătorilor, CAI Technology S.R.L. publică, la /security/hall-of-fame, lista celor care au contribuit la îmbunătățirea securității Platformei. Anonimizarea sau pseudonimizarea sunt opționale, la cererea raportorului.

9. Date de contact

Echipa de securitate: office@caitech.ro

Cheie PGP: https://artemis.caitech.ro.well-known/pgp-key.asc

Fișier security.txt: https://artemis.caitech.ro.well-known/security.txt

Pentru date personale (breșe GDPR): dpo@caitech.ro

Pentru raportarea către DNSC (atunci când legea o impune): https://dnsc.ro/

Mulțumiri CAI Technology S.R.L. mulțumește cercetătorilor de securitate care contribuie, cu bună-credință, la protejarea Platformei și a Utilizatorilor săi. Securitatea este un efort colectiv.