Ngày 01/03/2024, Công ty Cổ phần Số hóa An Bình đã quan tâm tới dịch vụ “Đánh giá, rò quét lỗ hổng bảo mật” và có yêu cầu cung cấp cung dịch vụ tới công ty. Công ty Cổ phần Công nghệ An Toàn Thông Tin và Truyền Thông Việt Nam ( VNIST) đã thực hiện rà quét đánh giá an toàn thông tin cho các phần mềm từ ngày 01/03/2024 đến 08/03/2024. Phương pháp đánh giá kiểm thử black box dựa trên các tiêu chuẩn bảo mật mới nhất là bộ tiêu chuẩn OWASP Testing Guide.
Dưới sự quan tâm và phối hợp nhiệt tình, ngày 08/03/2024 các phần mềm đã được triển khai thành công và sẵn sàng kiểm tra. Chúng tôi đã tiến hành thu thập SHA256 hash của các file cài đặt:
– Phần mềm M-Files (version 24.2.13421.8): C:\Soft\M-Files_Online_x64_eng_24_2_13421_8_EV.msi 7de7c3cdbcbe4e2ea24c873a7a793d57a246fc383d136e71f8e3d256af2b9b58
– Phần mềm ABBYY FlexiCapture (version 12.0.3.4164): C:\SoftABBYY_FlexiCapture12_Distributed_Release3Update4_build_12.0.3.4164.iso a1fb032127ea294e77e5074a8a9ce87902677dc89ecb515c55b7f45fdb421587
– Phần mềm ABBYY FineReader Server (version 14.0.1.86): C:\Soft\ FRS14_R1_U11_1340.16_14.0.1.86_x64.exe b1483a0cdb30184099ef63b0bde2fcb97c2c83d39257219c80d28afb1a80f88a
Tất cả hoạt động được tiến hành trên mô hình mô phỏng thực tế giống với khi triển khai, tại khách hàng của công ty An Bình. Kết quả quá trình đánh giá cho thấy, các phần mềm đã được kiểm tra, đều không phát hiện lỗ hổng bảo mật nào có mức độ dẫn tới nguy cơ bị khai thác, phá hoại hệ thống. Công ty VNIST khẳng định hệ thống đã được kiểm tra thỏa mãn các yêu cầu an toàn thông tin, vượt qua các đánh giá bảo mật theo tiêu chuẩn OWASP và đảm bảo an toàn cho người sử dụng. Và sau đó đã cấp chứng nhận An toàn thông tin cho các sản phẩm triển khai bởi Công ty Cổ phần Số hóa An Bình.
Miễn trừ trách nhiệm: Chứng nhận được thực hiện dựa trên các báo cáo kiểm tra mang tính thời điểm. Những phát hiện và khuyến cáo phản ánh thông tin được thu thập trong quá trình đánh giá và không bao gồm bất kỳ thay đổi hay sửa chữa nào năm ngoài khoảng thời gian kiểm tra. Xác nhận vượt qua đánh giá an toàn bảo mật này không bao gồm cả hệ thống phần cứng, máy tính, mạng mà các phần mềm này được triển khai. Các lỗ hổng có nguy cơ ở mức thấp theo khuyến nghị OWASP tại thời điểm kiểm tra không được xem là có giá trị ảnh hưởng đến kết luận cuối cùng.