Gå til hovedindholdet
Europa-Kommissionens logo
dada

Offentliggørelsespolitik for sårbarhed

Indledning

I Europa-Kommissionen er vores kommunikations- og informationssystemers sikkerhed en topprioritet i overensstemmelse med Kommissionens afgørelse (EU, Euratom) 2017/46.

Sårbarhed kan dog aldrig helt undgås på trods af ihærdig indsats. Når sårbarhed identificeres og udnyttes, bringes fortroligheden, integriteten og tilgængeligheden af Europa-Kommissionens systemer og de oplysninger, der behandles deri, i fare.

Denne offentliggørelsespolitik for sårbarhed beskriver hvilke systemer og typer test, der er tilladt, og hvordan der kan sendes sårbarhedsrapporter. Vi opfordrer til dig til at kontakte os for at indberette potentielle sikkerhedsproblemer i vores systemer ved at følge denne politik.

Tilladelse

Hvis du handler i god tro for at identificere og indberette sårbarhed i Europa-Kommissionens systemer, samtidig med at du overholder denne politik, vil vi samarbejde med dig for at forstå og løse problemerne hurtigt.
Europa-Kommissionen vil ikke anlægge sag imod dig i forbindelse med dine aktiviteter, der vedrører identificering af sårbarhed i vores system, så længe du følger retningslinjerne i denne politik.

Anvendelsesområde

Denne politik finder anvendelse på alle Europa-Kommissionens internetsystemer, herunder

  • hele Europa-Kommissionens webtilstedeværelse
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • offentlige IP-adresser i forbindelse med ASN 42848 og tilknyttede tjenester
  • anden software, der er offentliggjort af Europa-Kommissionen

Tjenester, der ikke er udtrykkeligt opført ovenfor, udelukkes fra anvendelsesområdet og er ikke tilladt til testning.
Desuden udelukkes sårbarhed, der findes i systemer fra leverandører, også fra anvendelsesområdet og bør derfor indberettes direkte til leverandøren i overensstemmelse med deres egen offentliggørelsespolitik (om nødvendigt).

Retningslinjer

Når du udfører dine aktiviteter, er det påkrævet, at du

  • ikke udnytter den sårbarhed eller det problem, som du har opdaget, f.eks. ved at downloade flere data end nødvendigt for at påvise sårbarheden, slette eller ændre andre personers data
  • kun anvender harmløse handlinger til at bekræfte, at der er en sårbarhed til stede
  • ikke afslører nogen data, der er downloadet i løbet af afdækningen, til offentligheden eller andre parter
  • ikke afslører sårbarheden eller problemet til offentligheden eller andre parter, indtil det er blevet løst
  • stopper din testning, når du afdækker følsomme oplysninger (identitetsoplysninger – lægelige, finansielle, fortrolige oplysninger eller forretningshemmeligheder) og omgående meddeler os det og ikke offentliggør nogen opnåede data til nogen

Foretag ikke følgende handlinger

  • anbringe skadelig software (virus, orm, trojansk hest, osv.) i noget system
  • kompromittere nogen systemer ved at anvende handlinger til at opnå fuld eller delvis kontrol
  • kopiere, ændre eller slette data fra systemet
  • foretage ændringer til systemet
  • gentagne gange skaffe sig adgang til systemet eller dele adgang med offentlige eller andre parter
  • anvende nogen adgang, der er opnået for at forsøge at få adgang til andre systemer
  • ændre adgangsrettigheder for andre brugere
  • anvende automatiserede scanningsværktøjer
  • anvende et såkaldt "brute force"-angreb for at få adgang til systemer
  • anvende "denial of service" eller social manipulation (phishing, vishing, spam, osv.)
  • anvende angreb på fysisk sikkerhed

Indberetning af en sårbarhed

Hvad vi ønsker, at du gør

Hvis du har identificeret en sårbarhed, så send

  • venligst dine resultater hurtigst muligt til EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) og præciser, hvorvidt du giver samtykke til, at dit navn eller pseudonym offentliggøres som den, der har afdækket problemet
  • krypter dine resultater ved hjælp af vores PGP-nøgle for at forebygge, at disse vigtige oplysninger falder i de forkerte hænder´
  • giv os tilstrækkelige oplysninger til at gengive problemet, således at vi kan løse det så hurtigt som muligt. Normalt vil en IP-adresse eller URL for det berørte system og en beskrivelse af sårbarheden være tilstrækkelig, men kompleks sårbarhed kan kræve yderligere forklaring med hensyn til tekniske oplysninger eller potentiel "proof-of-concept code"
  • fremlægge din indberetning helst på engelsk eller på et hvilket som helst af Den Europæiske Unions officielle sprog

Hvad kan du forvente af os

Til gengæld lover vi følgende, hvis du indberetter en sårbarhed til os, dvs. at:

  • besvare din indberetning inden for tre bankdage med vores evaluering af indberetningen
  • behandle din indberetning med streng fortrolighed
  • om nødvendigt oplyse dig, når sårbarheden er blevet afhjulpet
  • behandle de persondata, som du oplyser (som f.eks. din e-mailadresse og dit navn) i overensstemmelse med gældende databeskyttelseslovgivning, og vi videregiver ikke dine personoplysninger til tredjeparter uden din tilladelse
  • offentliggøre dit navn som den, der har afdækket problemet, hvis du har givet samtykke til dette i din oprindelige e-mail, når og hvis vi offentliggør problemet