Ustrukturyzowany, powtarzalny i audytowalny proces testu penetracyjnego dla instytucji finansowej. Oparty na uznanych standardach (PTES, OWASP, OSSTMM) i ramach regulacyjnych sektora (DORA TLPT, TIBER-EU). Każde ustalenie ma severity, dowód i ścieżkę remediacji — pentest wpina się w łańcuch evidence-first ipIII.
Rules of Engagement (RoE) i pisemnej autoryzacji zakresu nie prowadzimy żadnych działań na żywym celu.
Nie publikujemy payloadów, exploitów ani narzędzi — wyłącznie proces, standardy i format raportu dla obrońców. Strona: robots: noindex,nofollow.
Wartość pentestu dla banku nie leży w „włamaniu", lecz w weryfikowalnej liście ustaleń z dowodem i naprawą. Nasza metodyka produkuje ślad audytowy zgodny z oczekiwaniami nadzoru (KNF, CSIRT) i spina się z panelami Evidence Board oraz Compliance.
Penetration Testing Execution Standard porządkuje test w siedem faz. Governance i bramka zgody (RoE) są warunkiem wejścia — nie formalnością.
Web Security Testing Guide — systematyczny katalog testów aplikacji web/API. Baza checklisty dla warstwy aplikacyjnej.
Najczęstsze klasy podatności (m.in. Broken Access Control, Injection, SSRF). Priorytetyzacja ryzyka aplikacyjnego.
Ryzyka specyficzne dla API (BOLA/BFLA, nadmierne dane, brak limitów). Kluczowe dla bankowości otwartej / PSD2.
Open Source Security Testing Methodology Manual — pomiar bezpieczeństwa operacyjnego (rav), metryki powtarzalne.
Techniczny przewodnik oceny bezpieczeństwa — ramy planowania i wykonania testów.
Ryzyka aplikacji LLM/agentowych (prompt injection, nadmierna sprawczość) — warstwa AI portalu.
Dla banku pentest nie jest dowolny — jest osadzony w wymaganiach nadzorczych. Poniższe ramy opierają się na publicznie znanej treści regulacji (status: norma/ramka).
Threat-Led Penetration Testing wg rozporządzenia DORA — obowiązkowe testy oparte na wywiadzie o zagrożeniach dla podmiotów krytycznych rynku finansowego, na żywych systemach produkcyjnych, w reżimie kontrolowanym.
Threat Intelligence-based Ethical Red Teaming — ramowy framework EBC do testów opartych na realistycznym wywiadzie o zagrożeniach. Baza metodyczna dla TLPT w DORA.
Oczekiwania nadzoru krajowego, NIS2/KSC dla podmiotów kluczowych: regularne testy, ślad audytowy, raportowanie ustaleń krytycznych.
| Obszar | Co testujemy | Standard | Grupa A–L | Priorytet |
|---|---|---|---|---|
| Web / API | Kontrola dostępu, injection, SSRF, BOLA/BFLA, sesje, logika biznesowa | OWASP WSTG / API Top 10 | A, D | P0 |
| Infrastruktura | Segmentacja, hardening, ekspozycja usług, patch management | NIST 800-115 / OSSTMM | E, J | P1 |
| Cloud | IAM, konfiguracja, sekrety, storage, izolacja tenantów | OWASP / CIS Benchmarks | E | P1 |
| Tożsamość | MFA, zarządzanie kontami, federacja, PAM, sesje uprzywilejowane | PTES / NIST | C | P0 |
| Socjotechnika (awareness) | Phishing symulowany, podniesienie świadomości — nie pułapka na ludzi | PTES / OSSTMM | K | P2 |
| AI / agenci | Prompt injection, agent hijack, nadmierna sprawczość, wyciek kontekstu | OWASP LLM Top 10 / ATLAS | G, H, I | P0 |
Warstwa AI/agenci prowadzi bezpośrednio do playbooków: Prompt injection · Agent hijack · Agent Security. Symulowany phishing służy awareness, nie ocenie indywidualnej pracowników.
Raport to produkt pentestu. Format spójny z evidence-first: każde ustalenie ma pełny łańcuch od dowodu do naprawy.
| CVSS | Severity | Priorytet ipIII | SLA remediacji (demo) | Eskalacja |
|---|---|---|---|---|
| 9.0–10.0 | Critical | P0 | natychmiast / 24h | CISO + human-in-the-loop |
| 7.0–8.9 | High | P1 | 72h | Kierownik SOC |
| 4.0–6.9 | Medium | P2 | plan sprintu | Właściciel systemu |
| 0.1–3.9 | Low | P3 | backlog | Rejestr ryzyka |
SLA to wartości demonstracyjne (format panelu), nie zobowiązanie umowne. Ustalane per RoE.
Modelowany rejestr kompetencji, z którego dobierany jest zespół pod zakres. To struktura danych (ledger), nie stan żywych agentów.
ROJ ≠ REJESTR. Liczba 50 000 to DANE (modelowany roster). Realnie wykonawczy rój jest ograniczony infrastrukturą do ok. 16 równolegle / do 1000 na workflow (LIVE). Doktryna 5k–10k/cykl i 15× metaGO to ROADMAP. Kohorta ~50 pentesterów partnera to PUBLIC_CLAIM / PLANNED, anonimowo — bez podpisanego RoE nie nazywamy podmiotu.
Ustalenie z pentestu nie kończy życia w PDF. Wpina się w ten sam łańcuch dowodowy co incydenty operacyjne — dzięki temu naprawa jest mierzalna i audytowalna.
Powiązane panele: Dashboard · Evidence Board · Compliance · Demo dla bezpieczeństwa bankowego.
noindex,nofollow.