Ir al contenido principal
Logotipo de la Comisión Europea
eses

Política de divulgación de vulnerabilidades

Introducción

En la Comisión Europea, la seguridad de nuestros sistemas de información y comunicación es una prioridad absoluta, en consonancia con la Decisión CE 2017/46 de la Comisión.

Sin embargo, aunque hacemos todo lo que está en nuestras manos, las vulnerabilidades nunca pueden eliminarse por completo. Cuando se detectan y aprovechan vulnerabilidades, se pone en peligro la confidencialidad, integridad o disponibilidad de los sistemas de la Comisión Europea y de la información tratada en ellos.

Esta política de divulgación de vulnerabilidades describe qué sistemas y tipos de pruebas están autorizados y cómo enviar informes sobre vulnerabilidades. Le animamos a ponerse en contacto con nosotros para informar sobre posibles problemas de seguridad en nuestros sistemas siguiendo esta política.

Autorización

Si actúa de buena fe para detectar y notificar vulnerabilidades en los sistemas de la Comisión Europea, respetando al mismo tiempo esta política, trabajaremos con usted para comprender y resolver rápidamente los problemas.
La Comisión Europea no emprenderá acciones legales en relación con sus actividades de detección de vulnerabilidades en nuestros sistemas siempre y cuando siga las directrices de esta política.

Ámbito de aplicación

Esta política se aplica a todos los sistemas de internet de la Comisión Europea, incluidos:

  • la presencia digital de la Comisión Europea
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • direcciones IP públicas incluidas en el ASN 42848 y servicios conexos
  • cualquier otro programa informático publicado por la Comisión Europea

Los servicios no mencionados expresamente están excluidos del ámbito de aplicación y no pueden ser objeto de pruebas.
Además, las vulnerabilidades detectadas en los sistemas de los vendedores también están excluidas del ámbito de aplicación y deben notificarse directamente al vendedor con arreglo a su propia política de divulgación (si procede).

Directrices

Al llevar a cabo sus actividades, es imperativo que:

  • no aproveche la vulnerabilidad o el problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad, suprimiendo o modificando los datos de otras personas
  • utilice únicamente programas intrusos inofensivos para confirmar la existencia de una vulnerabilidad
  • no revele ningún dato descargado durante el descubrimiento al público ni a ninguna otra parte
  • no revele la vulnerabilidad o el problema al público o a otras partes hasta que se haya resuelto
  • ponga fin a las pruebas si descubre información delicada —como información de identificación personal (PII), datos médicos, financieros o de dominio privado, o secretos comerciales—, nos notifique inmediatamente y no revele ningún dato obtenido a nadie más

No lleve a cabo las siguientes acciones

  • introducir programas maliciosos (virus, gusanos, troyanos, etc.) en un sistema
  • poner un sistema en situación de riesgo mediante programas intrusos para obtener un control total o parcial
  • copiar, modificar o suprimir datos del sistema
  • introducir cambios en el sistema
  • acceder repetidamente al sistema o compartir el acceso con el público u otras partes
  • utilizar cualquier acceso obtenido para intentar acceder a otros sistemas
  • cambiar los derechos de acceso de otros usuarios
  • emplear herramientas de escaneo automatizadas
  • utilizar un «ataque de fuerza bruta» para acceder a cualquier sistema
  • utilizar la denegación de servicio o la ingeniería social (phishing, vishing, spam, etc.)
  • utilizar ataques contra la seguridad física

Notificar una vulnerabilidad

Cómo nos gustaría que procediera

Si ha detectado una vulnerabilidad, le pedimos que:

  • envíe sus hallazgos lo antes posible a EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), especificando si está de acuerdo o no en que se haga público su nombre o seudónimo como descubridor del problema
  • encripte sus hallazgos utilizando nuestra clave PGP para evitar que esta información crítica acabe en las manos equivocadas
  • facilítenos información suficiente para reproducir el problema, de modo que podamos resolverlo lo antes posible; normalmente, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, pero las vulnerabilidades complejas pueden requerir explicaciones adicionales en términos de información técnica o código de la prueba de concepto
  • facilite la información en inglés, preferiblemente, o en cualquier otra lengua oficial de la Unión Europea

Lo que puede esperar de nosotros

A cambio, prometemos lo siguiente cuando nos informe de una vulnerabilidad:

  • responder a su informe en un plazo de tres (3) días hábiles con nuestra evaluación del informe
  • tramitar su informe con estricta confidencialidad
  • en la medida de lo posible, informarle cuando se haya subsanado la vulnerabilidad
  • tratar los datos personales que facilite (como su dirección de correo electrónico y su nombre) de conformidad con la legislación aplicable en materia de protección de datos y no transmitir sus datos personales a terceros sin su permiso
  • publicar su nombre como descubridor del problema, si dio su consentimiento en su correo electrónico inicial, cuando, si se da el caso, revelemos públicamente el problema