TLPT DORA

dla Instytucji Finansowych

Testy penetracyjne oparte na TLPT zgodne z DORA, przeprowadzane przez pentesterów, którzy opublikowali ponad 150 luk CVE i testowali instytucje finansowe przez 10 lat

Umów konsultację
arrow_right [#333] Created with Sketch.
https://temple-brown.b-cdn.net/Red_lasers_are_202512201001_o62iz.mp4

TLPT Zgodne z DORA

Oferujemy testy TLPT zgodne z wymogami DORA, oparte na artykule 26 i ramach TIBER-EU:

Analiza dotycząca aktualnych scenariuszy zagrożeń

Testy Red Team oparte na potencjalnych ścieżkach ataków

Ćwiczenia Purple Team ze współpracą z SOC w czasie rzeczywistym

Weryfikacja naprawy wykrytych luk w zabezpieczeniach

Pokazujemy co zawodzi, w jaki sposób i jakie dane klientów są narażone.

Symulujemy działania atakujących, którzy naruszyli Twoje zabezpieczenia. Sprawdzamy, czy mogą dotrzeć do systemów płatności, manipulować transakcjami SWIFT lub przejąć kontrolę nad core banking. TLPT DORA pokazuje, które ścieżki ataku są skuteczne i czy Twoje zabezpieczenia je powstrzymują.

Umów konsultację
arrow_right [#333] Created with Sketch.

Dlaczego Instytucje Finansowe Wybierają AFINE do Testów TLPT DORA?

Przez 10 lat testowaliśmy systemy w produkcji dla takich instytucji jak ING Bank, PKO BP i innych dużych europejskich banków. Otrzymujesz zespół operatorów, którzy rozumieją, jak atakujący przechodzą od naruszenia zabezpieczeń do dostępu do SWIFT, manipulacji płatnościami i przejęcia kontroli nad core banking. Nasze raporty pokazują dokładnie, które mechanizmy kontroli zawiodły, pełne łańcuchy ataków oraz to, gdzie Twój zespół SOC nas nie wykrył.

10 lat

Testowania systemów finansowych w produkcji

Zero poważnych incydentów

Podczas setek ocen w środowisku na produkcji

150+ CVE

Opublikowanych w oprogramowaniu korporacyjnym

Penetration testing trusted Glowing Trusted

Nasz Research

Nasi badacze opublikowali ponad 150 luk CVE w oprogramowaniu korporacyjnym używanym przez instytucje finansowe:

  • CVE-2025-24870: luka w zabezpieczeniach SAP GUI
  • CVE-2023-45182: luka w zabezpieczeniach hasła w platformie IBM
  • CVE-2024-10864: iniekcja SQL w uwierzytelnianiu OpenText

Podczas przeprowadzania testów TLPT DORA dla Twojej instytucji symulujemy atakujących wykorzystujących zarówno znane luki, jak i zero-day'e w Twojej infrastrukturze technologicznej.

Nasz Research
SAP security alert for CVE-2025-24870 showing a critical threat level with details on insecure secrets management and risk to banking transactions and enterprise data.
Alert sign bringing attention to found CVEs in banking software
Transparent red glowing skull icon representing CVE vulnerabilities
Abstract glowing red and orange circular gradient with yellow highlights on a black background.

Certyfikowani Dostawcy TLPT DORA

Współpracujesz z dedykowanym zespołem certyfikowanych operatorów (CRTO, OSCP, OSCE, OSEP), którzy rozumieją infrastrukturę bankową i wymagania TIBER-EU.

Raporty TLPT Spełniające Wymagania DORA

Każdy raport TLPT zawiera analizę zagrożeń, pełną dokumentację łańcuchów ataków, ocenę wykrywania i reagowania oraz zalecenia dotyczące remediacji. Raporty są przygotowane w formacie zgodnym z wymogami DORA.

Three stacked translucent digital panels displaying futuristic colorful charts and graphs on a black background.
Transparent blue sword and shield with a glowing purple aura on a black background representing purple team.

Nasze Usługi

Analiza Zagrożeń i Opracowywanie Scenariuszy

Badamy metody działania cyberprzestępców atakujących instytucje finansowe, w tym przejmowanie SWIFT, oszustwa płatnicze, ataki ransomware i zagrożenia wewnętrzne. Na tej podstawie tworzymy realistyczne scenariusze ataków dopasowane do specyfiki Twojego sektora.

Learn more
Decorative gradient glow effect for solution card

Core banking i Systemy Płatności

Testujemy core banking, komunikację SWIFT, przetwarzanie płatności, autoryzację przelewów i systemy płatności w czasie rzeczywistym. Sprawdzamy, czy atakujący mogą manipulować transakcjami lub zakłócać przetwarzanie płatności oraz czy Twój zespół to wykrywa.

Learn more
Decorative gradient glow effect for solution card

Platformy Bankowości Cyfrowej

Testujemy bankowość internetową, mobilną oraz interfejsy API łączące kanały cyfrowe z głównym systemem. Sprawdzamy, czy atakujący mogą przejąć konta użytkowników, przechwycić sesje, manipulować transakcjami lub ominąć systemy wykrywania oszustw w realistycznych warunkach ataku.

Learn more
Decorative gradient glow effect for solution card

Systemy Finansowo-Operacyjne i Backendowe

Testujemy platformy raportowania finansowego, systemy uzgadniania sald oraz przepływy pracy zatwierdzania płatności. Sprawdzamy, czy atakujący, którzy naruszyli zabezpieczenia, mogą uzyskać możliwość wykonywania przelewów, a także oceniamy, czy Twoje mechanizmy kontroli są w stanie powstrzymać takie działania.

Learn more
Decorative gradient glow effect for solution card

Bezpieczeństwo Integracji Podmiotów Trzecich

Testujemy zabezpieczenia procesorów płatności, fintechów, banków korespondentów i SWIFT. Sprawdzamy, czy atak u jednego podmiotu może rozprzestrzenić się w łańcuchu dostaw oraz czy Twój monitoring to wykryje.

Learn more
Decorative gradient glow effect for solution card

Ocena Reakcji Blue Teamu
na Incydenty

Testujemy reakcję Twojego zespołu bezpieczeństwa na niezapowiedziane ataki. Oceniamy czas reakcji, komunikację podczas incydentów oraz zdolność do odzyskiwania systemów po naruszeniu.

Learn more
Decorative gradient glow effect for solution card

Wykrywanie Zagrożeń przez SOC

Testujemy wykrywalność ataków finansowych (kradzież danych, SWIFT, oszustwa przelewowe) przez Twój SOC w realistycznych symulacjach.

Learn more
Decorative gradient glow effect for solution card

Weryfikacja Remiediacji i Raportowanie

Po testach dostarczamy raport z analizą wykrytych podatności, oceną skuteczności obrony oraz rekomendacjami naprawczymi - wszystko w formacie zgodnym z wymogami DORA.

Learn more
Decorative gradient glow effect for solution card
Learn more
Decorative gradient glow effect for solution card

Oprogramowanie Korporacyjne, Które Zhackowaliśmy

Nasi badacze TLPT DORA odkrywają luki w platformach korporacyjnych obsługujących krytyczne operacje w bankowości i finansach. Wykorzystujemy zarówno znane luki CVE, jak i nieudokumentowane jeszcze podatności.

CVE-2020-1569
Poziom zagrożenia
Krytyczny

Przepełnienie pamięci w Microsoft Edge (EdgeHTML) umożliwia zdalne wykonanie kodu przez spreparowaną zawartość webową

Zobacz więcej
Soft green glowing abstract shape with blurred edges on black background.
Soft glowing golden yellow blurred light with a smooth gradient and rounded shape.
Soft glowing abstract light with warm gradient colors blending red, orange, and yellow.
CVE-2020-5920
Poziom zagrożenia
Krytyczny

Iniekcja SQL w F5 BIG-IP AFM (Advanced Firewall Manager) umożliwia ataki na bazę danych urządzenia bezpieczeństwa

Zobacz więcej
Soft green glowing abstract shape with blurred edges on black background.
Soft glowing golden yellow blurred light with a smooth gradient and rounded shape.
Soft glowing abstract light with warm gradient colors blending red, orange, and yellow.
CVE-2023-45182
Poziom zagrożenia
Krytyczny

Słabe szyfrowanie haseł w IBM i Access Client Solutions umożliwia atakującym odszyfrowanie przechowywanych haseł i umożliwia dostęp do podłączonych systemów

Zobacz więcej
Soft green glowing abstract shape with blurred edges on black background.
Soft glowing golden yellow blurred light with a smooth gradient and rounded shape.
Soft glowing abstract light with warm gradient colors blending red, orange, and yellow.

Zobacz wszystkie opublikowane przez nas CVE:

Wszystkie CVE

AFINE Adaptive Security Framework (AASF)

Framework opracowany na podstawie dekady ocen bezpieczeństwa i stale udoskonalany wraz z ewolucją metod ataków. Nasza metodologia odzwierciedla aktualne wzorce zagrożeń i wyzwania bezpieczeństwa, przed którymi stoją organizacje w miarę rozszerzania się ich powierzchni ataku.

Plan Naprawy Luk

Blue gradient glow side effect for card design
3D minimalist composition representing cybersecurity defense architecture

Testy Dostosowane do Twojej Infrastruktury

Red team services card visual element

Raportowanie
Techniczne i Biznesowe

Penetration testing service card visual element

Natychmiastowe Alerty o Krytycznych Lukach

Security assessment service card visual element

Plan Działań Naprawczych

Priorytetyzacja luk według ich wykorzystywalności w Twoim środowisku. Otrzymujesz klasyfikację CVSS i widzisz, które ścieżki ataku narażają dane klientów i kompromitują krytyczne systemy.

Blue gradient glow side effect for card design
3D minimalist composition representing cybersecurity defense architecture

Testy Dostosowane do Twojej Infrastruktury

Testujemy w izolowanych środowiskach lub dostosowujemy harmonogram do Twoich krytycznych okresów biznesowych i audytów. Twój zespół ds. bezpieczeństwa ma bezpośredni kontakt z nami przez cały czas trwania testów.

Red team services card visual element

Raportowanie Techniczne i Biznesowe

Inżynierowie bezpieczeństwa dostają szczegóły exploitów i ścieżki ataku. Kierownictwo otrzymuje informację jak te luki wpływają na compliance i bezpieczeństwo firmy.

Green gradient glow side effect for card design
Penetration testing service card visual element

Natychmiastowe Alerty o Krytycznych Lukach

O krytycznych lukach dowiadujesz się w ciągu 48 godzin od ich wykrycia. Widzisz realne zagrożenia w czasie rzeczywistym, nie czekając na finalny raport.

Purple gradient glow side effect for card design
Security assessment service card visual element

Plan Działań Naprawczych

Priorytetyzacja luk według ich wykorzystywalności w Twoim środowisku bankowym. Otrzymujesz klasyfikację CVSS i widzisz, które ścieżki ataku narażają dane klientów i kompromitują krytyczne systemy bankowe

Blue gradient glow side effect for card design
3D minimalist composition representing cybersecurity defense architecture

Testy Dostosowane do Twojej Infrastruktury

Testujemy w izolowanych środowiskach lub dostosowujemy harmonogram do Twoich krytycznych okresów biznesowych i audytów. Twój zespół ds. bezpieczeństwa ma bezpośredni kontakt z nami przez cały czas trwania testów.

Yellow gradient glow side effect for card design
Red team services card visual element

Raportowanie Techniczne i Biznesowe

Inżynierowie bezpieczeństwa uzyskują szczegóły eksploatacji i ścieżki ataku. Przywództwo ma wpływ na biznes, obejmujący zgodność, ryzyko związane z danymi i ciągłość operacyjną.

Green gradient glow side effect for card design
Penetration testing service card visual element

Natychmiastowe Alerty o Krytycznych Lukach

O krytycznych lukach dowiadujesz się w ciągu 48 godzin od ich wykrycia. Widzisz realne zagrożenia w czasie rzeczywistym, nie czekając na finalny raport.

Purple gradient glow side effect for card design
Security assessment service card visual element

Jesteśmy Gotowi Dostarczyć Bezpieczeństwo na Najwyższym Poziomie

Nasz Research
Umów Rozmowę
arrow_right [#333] Created with Sketch.

Dlaczego Organizacje Nam Ufają?

Svg Vector Icons : http://www.onlinewebfonts.com/icon
W ciągu trzech lat współpracy AFINE przeszło drogę od dostawcy rezerwowego do naszego głównego partnera w testach penetracyjnych. Konsekwentnie znajdują istotne, a czasem krytyczne luki tam, gdzie inni pentesterzy je przeoczyli.
Cedomir Karličić

Szef ds. Bezpieczeństwa

,

Isabel Group

Abstract infinity loop symbolizing ongoing security protection
Jestem pod ogromnym wrażeniem. To naprawdę kompleksowe podejście. Znaleźliście luki, których wcześniejsze testy penetracyjne nie wykryły. Niesamowita praca. Bardzo dziękuję!
Kevin Cadman

Dyrektor ds. DevOps i Infrastruktury, KingMakers

,

KingMakers

Abstract infinity loop symbolizing ongoing security protection
Zespół AFINE przeprowadził dla nas analizę aplikacji i testy środowisk IT. Poziom świadczenia usług - najwyższy. Otrzymane informacje i przekazana wiedza - bezcenne. Z czystym sumieniem polecam, choć trzeba być przygotowanym na mocne wrażenia.
Marek Krzyżanowski

Dyrektor IT

,

Grupa Apator

Abstract infinity loop symbolizing ongoing security protection
AFINE jest naszym partnerem w testach bezpieczeństwa od 2020 roku, konsekwentnie dostarczają wyjątkowe rezultaty. Ich zespół identyfikuje krytyczne luki, znacząco wzmacniając naszą postawę bezpieczeństwa. Raporty jasno wyjaśniają ryzyka ze szczegółami umożliwiającymi szybką naprawę. Zdecydowanie polecam AFINE jako zaufanego partnera cyberbezpieczeństwa.
Jacek Skorupka

Dyrektor Grupy ds. Cyberbezpieczeństwa

,

Medicover

Abstract infinity loop symbolizing ongoing security protection
Współpracujemy z AFINE od ponad 5 lat, podczas których przeprowadzili dziesiątki audytów bezpieczeństwa dla BGK - w tym testy penetracyjne, analizy bezpieczeństwa i przeglądy kodu. Ich praca konsekwentnie spełnia najwyższe standardy, jest wykonywana na czas i zapewnia doskonałą wartość. Zdecydowanie polecam AFINE za profesjonalizm i łatwość współpracy.
Krzysztof Murawski

Departament Bezpieczeństwa

,

Bank Gospodarstwa Krajowego

Abstract infinity loop symbolizing ongoing security protection
AFINE wskazało najważniejsze luki, dzięki czemu skoncentrowaliśmy nasze działania dokładnie tam, gdzie miało to znaczenie. Nie marnowaliśmy czasu na drobne problemy
- tylko jasne, konkretne zagrożenia o rzeczywistym wpływie biznesowym. Współpraca przebiegła sprawnie, komunikacja była doskonała, a efekty widoczne od razu.
Artur Maliszewski

CIO

,

Tpay

Abstract infinity loop symbolizing ongoing security protection

Dowiedz się, co ludzie mówią o nas

Zobacz wszystkie historie klientów

FAQ - TLPT DORA

Co to jest TLPT DORA i czy jest obowiązkowe dla instytucji finansowych?

TLPT DORA (Testy penetracyjne oparte na zagrożeniach zgodne z Digital Operational Resilience Act) to obowiązkowe zaawansowane testy dla podmiotów krytycznych zidentyfikowanych przez regulatorów na mocy art. 26. Symulują rzeczywistych atakujących, którzy po uzyskaniu dostępu próbują dotrzeć do systemów płatności, manipulować transakcjami SWIFT lub wykraść dane klientów - sprawdzając jednocześnie, czy Twój SOC wykrywa te działania.

Czy AFINE ma możliwości techniczne do przeprowadzenia testów TLPT DORA?

Tak. Mamy 10 letnie doświadczenie w testowaniu systemów płatności i infrastruktury SWIFT dla takich instytucji jak PKO BP, ING Bank i BGK. Nasi specjaliści posiadają certyfikaty CRTO, OSCP, OSCE, OSEP i opublikowali ponad 150 luk CVE w oprogramowaniu korporacyjnym, w tym w systemach SAP, IBM, CyberArk, Microsoft i Palo Alto. Znamy ramy TIBER-EU i wiemy, jak bezpiecznie przeprowadzać operacje red team na systemach produkcyjnych banków.

Ile kosztują testy TLPT DORA?

Koszt zależy od zakresu: jakie systemy testujemy i jakie scenariusze zagrożeń symulujemy. Kompleksowe oceny TLPT DORA mieszczą się w przedziale od 380 000 do 1 920 000+ zł. Testy obejmujące core banking, SWIFT, systemy płatności i kanały cyfrowe są droższe niż testy ukierunkowane na konkretne obszary. Przedstawiamy przejrzystą wycenę podczas konsultacji.

Czy AFINE posiada certyfikat ISO 27001?

Tak. AFINE posiada certyfikat ISO 27001 w zakresie zarządzania bezpieczeństwem informacji. Oznacza to, że nasze wewnętrzne procesy bezpieczeństwa, przetwarzanie danych i ochrona informacji klientów spełniają międzynarodowe standardy. Kiedy udostępniasz nam wrażliwe szczegóły infrastruktury, diagramy sieci lub dane o lukach podczas operacji red teamu, te informacje są chronione.

Jak działa proces testowania TLPT DORA?

TLPT DORA (Testy penetracyjne oparte na zagrożeniach zgodne z Digital Operational Resilience Act) przebiega w trzech fazach, opartych na ramach TIBER-EU, w celu oceny zdolność organizacji do wykrywania i reagowania na zaawansowane cyberataki:

Faza przygotowania - Definiujemy zakres kluczowych systemów, procesów i personelu, które mogą stanowić cel ataku. Dostawca threat intelligence zbiera dane o konkretnych zagrożeniach dla Twojej branży. Powołujemy white team zapewniający poufność testu oraz ustanawiamy zabezpieczone kanały komunikacyjne do przetwarzania wrażliwych informacji związanych z TLPT.

Faza testowania - Red team przeprowadza tajne symulacje ataków bazując na zebranych informacjach o zagrożeniach. Używamy taktyk, technik i procedur (TTP) rzeczywistych atakujących, kierując je na krytyczne funkcje organizacji. Blue team nie jest świadomy testów. Próbujemy przełamać zabezpieczenia systemów, uzyskać dostęp do wrażliwych danych i przetestować odporność w obszarze technologii, procesów i personelu - jednocześnie oceniając zdolność do wykrywania zagrożeń i skutecznego reagowania.

Faza zamknięcia i działań naprawczych - Red team prezentuje ustalenia white teamowi i kluczowym interesariuszom. Raport zawiera szczegółowe informacje o zidentyfikowanych podatnościach, skuteczności reakcji na symulowane zagrożenia oraz dogłębną analizę luk w odporności. Proces kończy się sesją współpracy, podczas której omawiamy strategie naprawcze i sposoby zapobiegania przyszłym zagrożeniom.

Umów Konsultację

Każde zaangażowanie TLPT dostosowujemy do Twoich systemów i zagrożeń. Umów się na konsultację, aby omówić swoje wymagania.

Umów Konsultację
arrow_right [#333] Created with Sketch.
Blue and teal glowing gradient with a soft, circular light effect on a black background.
Transparent shield blocking multiple intersecting blue laser beams on a dark background representing penetration testing