A
- Activ critic
- Valoarea de business a unui activ, folosită pentru ponderarea scorului de risc. O vulnerabilitate pe baza de date de plăți are scor mai mare decât aceeași vulnerabilitate pe un landing page de marketing.
- Anexa A (ISO 27001)
- Unul din cele 93 de controale din ISO/IEC 27001:2022 Anexa A, organizate în Organizațional, Oameni, Fizic și Tehnologic.
- Atac, suprafață de
- Setul complet de active, conturi și puncte de intrare pe care un atacator extern sau intern le poate atinge. Managementul modern al suprafeței de atac e o problemă de descoperire continuă, nu un inventar punctual.
- Audit, pistă de
- Înregistrare cronologică, rezistentă la modificare, a fiecărei schimbări relevante pentru un control. Fără pistă de audit, un auditor nu poate verifica ce s-a întâmplat efectiv.
C
- CDE (Cardholder Data Environment)
- Scopul PCI-DSS: orice sistem care stochează, procesează, transmite sau poate afecta securitatea datelor de card.
- CISA KEV
- Catalogul american de vulnerabilități cunoscute exploatate. Semnal util de exploatare în viu, dar nu înlocuiește prioritizarea contextuală în mediul tău.
- CISO
- Chief Information Security Officer — rol cu răspundere personală tot mai accentuată sub prevederile NIS2 privind organul de conducere.
- CRA
- EU Cyber Resilience Act — regulamentul UE care face din cybersecurity o obligație de marcaj CE pentru produse cu elemente digitale.
- CTI
- Cyber Threat Intelligence — informații despre actori, malware și TTP-uri curate față de amenințările care contează pentru sectorul și geografia ta.
- CVE
- Common Vulnerabilities and Exposures — schema globală de identificare a vulnerabilităților divulgate public, întreținută de MITRE.
- CVSS
- Common Vulnerability Scoring System — scor al severității vulnerabilității în abstract. Util pentru triaj la scară de internet; insuficient ca singur input de prioritizare într-un mediu real.
D
- DORA
- Digital Operational Resilience Act — regulamentul UE ce impune managementul riscului ICT și reziliența pentru entitățile financiare, aplicabil din ianuarie 2025.
- DREAD
- Metodologie de scoring threat modelling: Damage, Reproducibility, Exploitability, Affected users, Discoverability. Folosită ca unul din cei șase factori în scorul contextual Centraleyezer.
E
- EDR
- Endpoint Detection and Response — telemetrie și capacitate de răspuns la nivel de host, distinct de antivirus prin vizibilitatea pe arborii de procese și analiză comportamentală.
- Entitate esențială (NIS2)
- Clasificare NIS2 cu cele mai grele obligații. Include entități mari din energie, transport, bănci, sănătate, apă potabilă, infrastructură digitală și administrație publică.
- Entitate importantă (NIS2)
- Clasificare NIS2 cu un nivel sub esențială, cu obligații proporționale dar încă substanțiale.
- EPSS
- Exploit Prediction Scoring System — estimare probabilistică de exploatare în viu pentru un CVE dat. De citit alături de factori contextuali, nu de unul singur.
- Evidență (audit)
- Probă documentară că un control a funcționat conform așteptărilor în perioada de audit. Loguri, rapoarte, screenshot-uri și aprobări semnate sunt evidență; asigurarea verbală nu este.
G
- GDPR Articolul 32
- Clauza GDPR ce impune „măsuri tehnice și organizatorice adecvate” pentru protecția datelor personale, inclusiv criptare, integritate, disponibilitate și reziliență.
- GDPR Articolul 33
- Clauza GDPR ce impune notificarea breach-ului de date personale către autoritatea de supraveghere în 72 de ore de la momentul în care operatorul devine conștient de el.
- GEO
- Generative Engine Optimisation — disciplina de a face conținutul descoperibil și citabil de asistenții AI generativi (ChatGPT, Claude, Perplexity, Gemini).
I
- IEC 62443
- Standardul internațional pentru securitatea sistemelor industriale de automatizare și control. Lectură obligatorie pentru medii OT.
- Incident
- Eveniment ce a compromis, sau e suspect rezonabil că a compromis, confidențialitatea, integritatea sau disponibilitatea unui activ informațional. Raportabil sub NIS2 (Articolul 23) și GDPR (Articolul 33) în termene strânse.
- ISMS
- Information Security Management System — setul documentat de politici, proceduri, controale și tratamente de risc certificat de ISO 27001.
J
- JSON-LD
- Bloc JSON codificat schema.org, încorporat într-o pagină HTML, care îi face semnificația lizibilă pentru mașini. Preferat puternic atât de Google cât și de asistenții AI.
L
- llms.txt
- Fișier text mic, bine cunoscut, la rădăcina unui website, ce oferă asistenților AI generativi un sumar curatat, lizibil pentru mașini, al site-ului. Companion al llms-full.txt pentru ingestie de conținut lung.
M
- MITRE ATT&CK
- Baza globală de cunoștințe despre tactici și tehnici adversariale, folosită pentru a alinia obiectivele red team cu acoperirea de detecție.
- MSSP
- Managed Security Service Provider — organizație ce operează unelte și procese de securitate în numele clienților. Centraleyezer oferă multi-tenancy MSSP-native.
N
- NIS2
- Directiva UE 2022/2555. Face din managementul riscului cibernetic o obligație legală la nivel de board pentru entitățile esențiale și importante din 18 sectoare. Transpusă în legislația română în 2024.
O
- OT
- Operational Technology — sistemele care controlează procese fizice, distinct de IT. Frecvent în energie, producție, apă și transport.
- OWASP Top 10
- Listă întreținută de comunitate cu cele mai comune riscuri de securitate ale aplicațiilor web. Bază pentru pentest de aplicație; nu acoperirea completă.
P
- PCI-DSS
- Payment Card Industry Data Security Standard. Versiunea 4.0 a devenit aplicabilă integral la 31 martie 2025.
- Phishing
- Atacuri de inginerie socială prin email sau messaging, vizând recoltarea credențialelor, plantarea de malware sau declanșarea de acțiuni frauduloase. Cel mai testat control din catalogul Sandline.
- PoC (Proof of Concept)
- Demonstrație că o vulnerabilitate este exploatabilă într-un mediu specific. Cerută pentru ca findings-urile să fie auditabile și prioritizabile.
R
- RBVM
- Risk-Based Vulnerability Management — disciplina de a prioritiza vulnerabilitățile după riscul de business în mediul specific, nu după scorul de severitate brut.
- Red team
- Simulare adversarială pe mai multe săptămâni, condusă de obiective. Distinct de un pentest prin scop, persistență și includerea ingineriei sociale și a accesului fizic, când e autorizat.
- Remediere
- Munca de a repara o vulnerabilitate, distinct de a o detecta. Programul Sandline urmărește remedierea până la verificarea fix-ului, nu până la crearea ticket-ului.
S
- SBOM
- Software Bill of Materials — listă lizibilă pentru mașini cu componentele, librăriile și licențele dintr-un produs software. Cerut de EU Cyber Resilience Act.
- SIEM
- Security Information and Event Management — platforma care agregă loguri și alerte din mediu pentru corelare și investigație.
- SLA
- Service Level Agreement — angajament contractual cu termen. În programul Sandline, fiecare remediere are un SLA legat de scorul de risc.
T
- TIBER-EU
- Cadrul Băncii Centrale Europene pentru red-teaming etic bazat pe threat intelligence. Metodologia pe care DORA Articolul 13 o cere efectiv pentru entitățile financiare semnificative.
- TLPT
- Threat-Led Penetration Testing — termenul DORA pentru simulare adversarială a entităților financiare semnificative, aliniat TIBER-EU.
- TTP
- Tactics, Techniques and Procedures — modul structurat de a descrie ce face efectiv un adversar, codificat în MITRE ATT&CK.
V
- Vulnerabilitate
- Slăbiciune într-un sistem, control sau proces ce ar putea fi exploatată de o amenințare. Unitatea de muncă într-un program de management al vulnerabilităților.
Z
- Zero-day
- Vulnerabilitate pentru care nu există patch public la momentul descoperirii. Prioritizare ridicată doar când exploatarea e observată în mediul tău sau sector.