Blackbone SRL aplică principiile security by design și privacy by default conform art. 25 GDPR. Securitatea este o preocupare continuă, nu un checkbox.

• criptare în tranzit cu TLS 1.3 obligatoriu (HSTS preload), HTTP/2 / HTTP/3 unde este disponibil;
• criptare la repaus a bazei de date Neon Postgres (AES-256);
• hash de parole cu PBKDF2-SHA256, 200 000 iterații, salt unic per utilizator;
• frază mnemonică Wallet stocată exclusiv pe device, în iOS Keychain protejat de Secure Enclave;
• autentificare cu 2FA TOTP (RFC 6238) pentru wallet;
• autentificare admin prin cookie NextAuth semnat (HMAC + JWE), httpOnly, secure, sameSite=lax;
• headere de securitate HTTP (Content-Security-Policy, X-Content-Type-Options, Referrer-Policy);
• limitare a ratei (rate limiting) pe rutele de autentificare și IAP;
• validare strictă a tranzacțiilor IAP prin App Store Server API (apple_transaction_id UNIQUE);
• backup-uri zilnice, criptate, cu retenție 30 zile;
• secrete și chei stocate în Vercel Environment Variables, niciodată în repo;
• dependențe scanate periodic (npm audit, GitHub Dependabot, Renovate);
• logging structurat fără date sensibile (nu logăm parole, IAP receipts în clar, frază mnemonică).

• acces administrativ doar pentru personalul autorizat al Blackbone SRL;
• politica „least privilege" pe API-uri interne;
• monitorizare permanentă a anomaliilor în loguri;
• plan de răspuns la incidente cu notificare ANSPDCP în 72h (art. 33 GDPR);
• revizuire periodică a procesatorilor terți (Apple, Vercel, Neon, Resend).

Apreciem cercetătorii de securitate care raportează vulnerabilități în mod responsabil. Pentru a raporta o problemă de securitate, contactați:

• Email: security@kosronbank.eu (preferat — răspundem în maximum 72 de ore);
• Fallback: contact@blackbone.ro.

Includeți: descriere tehnică, pași de reproducere, impact estimat, dovadă concept (PoC), date de contact. Vă rugăm să respectați următoarele reguli „safe harbor":

• nu accesați și nu exfiltrați date ale altor utilizatori;
• nu rulați atacuri de tip denial-of-service;
• nu folosiți tehnici de social engineering;
• nu publicați public vulnerabilitatea înainte de remediere și acord;
• nu cereți recompense materiale; oferim mulțumiri publice (Hall of Fame) la cerere.

Confirmăm primirea în 72 ore, oferim plan de remediere în 7 zile lucrătoare și un status update la fiecare 30 de zile.

Fișierul standardizat RFC 9116 este publicat la /.well-known/security.txt.

Nu aplicăm decizii automate cu efecte juridice asupra Utilizatorului în sensul art. 22 GDPR. Calculele de dobânzi, rate, schedule de amortizare sunt deterministe, auditabile, vizibile pas-cu-pas în interfață.

Pentru detalii operaționale, consultați Politica de Confidențialitate, Pagina de ștergere cont și Conformitatea UE.

Versiunea curentă: 1.0 — 16 iunie 2026.