A sebezhetőségek feltárására irányuló politika

Az Európai Bizottságnál kommunikációs és információs rendszereink biztonsága kiemelt prioritás, összhangban az (EU, Euratom) 2017/46 bizottsági határozattal.

A sebezhetőségeket azonban a legelszántabb erőfeszítések ellenére sem lehet teljesen megszüntetni. A sebezhetőségek azonosítása és kihasználása veszélyezteti az Európai Bizottság rendszereinek és az általuk feldolgozott információknak a titkosságát, sértetlenségét és rendelkezésre állását.

Ez a sebezhetőségek feltárására irányuló politika leírja, hogy milyen rendszereket és teszttípusokat engedélyez a Bizottság, és hogyan kell a sebezhetőségeket bejelenteni. Arra biztatjuk Önt, hogy vegye fel velünk a kapcsolatot, és az itt leírtaknak megfelelően jelentse be rendszereink esetleges biztonsági problémáit.

Ha Ön jóhiszeműen cselekszik az Európai Bizottság rendszereivel kapcsolatos sebezhetőségek azonosítása és bejelentése kapcsán, e politikával összhangban együtt fogunk működni Önnel a problémák gyors megértése és megoldása érdekében.
Amennyiben Ön betartja e politika iránymutatásait, az Európai Bizottság nem fog jogi lépéseket tenni azokkal a tevékenységekkel kapcsolatban, melyeket Ön a rendszereink sebezhetőségeinek azonosítása céljából végez.

Ez a politika az Európai Bizottság valamennyi internetre csatlakoztatott rendszerére vonatkozik, beleértve a következőket:

• a Bizottság teljes jelenléte a világhálón
  • *.ec.europa.eu/*
  • *.commission.europa.eu/*
• az ASN 42848 szám alatti nyilvános IP-k és kapcsolódó szolgáltatások
• az Európai Bizottság által közzétett egyéb szoftverek

A fentiekben kifejezetten fel nem sorolt szolgáltatások nem tartoznak e politika hatálya alá, és tesztelésük nem engedélyezett.
Ezenkívül a szolgáltatók rendszereiben talált sebezhetőségek szintén nem tartoznak e politika hatálya alá, és azokat (adott esetben) saját sebezhetőség-feltárási politikáiknak megfelelően közvetlenül az adott szolgáltatóknak kell jelenteni.

Tevékenysége során feltétlenül a következőképpen cselekedjen:

• ne használja ki az Ön által feltárt sebezhetőséget vagy problémát, például a sebezhetőség igazolásához szükségesnél több adat letöltésével, más személyek adatainak törlésével vagy módosításával
• a sebezhetőség kihasználása, melynek célja a sebezhetőség meglétének igazolása, legyen ártalmatlan
• ne fedje fel a feltárás során letöltött adatokat a nyilvánosság vagy bármely más fél előtt
• ne fedje fel a sebezhetőséget vagy problémát a nyilvánosság vagy más felek előtt mindaddig, amíg azt nem orvosolták
• fejezze be a tesztelést, ha érzékeny információkat (személyazonosító adatokat, orvosi vagy pénzügyi vonatkozású, illetve védett információkat vagy üzleti titkokat) fedez fel, haladéktalanul értesítsen minket, és a megszerzett adatokat senki más előtt ne tárja fel

Semmiképpen se tegye a következőket:

• ne helyezzen el kártékony szoftvert (vírus, féreg, trójai program stb.) semmilyen rendszerben
• ne veszélyeztessen semmilyen rendszert azáltal, hogy a teljes vagy részleges ellenőrzés megszerzése érdekében kihasználja a sebezhetőségeket
• ne másoljon, módosítson vagy töröljön adatokat a rendszerből
• ne eszközöljön változtatásokat a rendszerben
• ne férjen hozzá ismételten a rendszerhez és ne ossza meg a hozzáférést a nyilvánossággal vagy harmadik felekkel
• ne használja fel a megszerzett hozzáférést más rendszerekhez való hozzáférés megkísérlésére
• ne módosítsa más felhasználók hozzáférési jogait
• ne alkalmazzon rosszindulatú szoftvereket kereső automatikus eszközöket
• ne alkalmazzon próbálgatásos („brute force”) támadást a rendszerekhez való hozzáféréshez
• ne alkalmazzon szolgáltatásmegtagadással vagy pszichológiai manipulációval járó támadást (adathalászat, telefonos adathalászat, kéretlen üzenet stb.)
• ne alkalmazzon fizikai biztonság elleni támadásokat

Mit kérünk Öntől?

Ha sebezhetőséget azonosított, kérjük,

• a lehető leghamarabb küldje el megállapításait e-mailben az EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) e-mail-címre, és jelezze, hogy hozzájárul-e ahhoz, hogy az Ön – mint a problémát feltáró személy – nevét vagy álnevét nyilvánosan hozzáférhetővé tegyük
• PGP-kulcsunk segítségével titkosítsa megállapításait, nehogy ezek a kritikus információk rossz kezekbe kerüljenek
• adjon elegendő információt a probléma reprodukálásához, hogy azt a lehető leggyorsabban meg tudjuk oldani. Az érintett rendszer IP-címe vagy URL-címe és a sebezhetőség leírása általában elegendő, de az összetett sebezhetőségek olyan további magyarázatot igényelhetnek, mint bizonyos technikai információk vagy az esetleges koncepcióigazolási kód
• a bejelentést lehetőleg angolul nyújtsa be, de az Európai Unió bármely más hivatalos nyelvén is megteheti ezt

Mit várhat tőlünk?

Ha sebezhetőségről tesz bejelentést nekünk, cserébe a következőket ígérjük:

• három (3) munkanapon belül válaszolunk az Ön bejelentésére annak értékelésével
• bejelentését szigorúan bizalmasan kezeljük
• amennyiben lehetséges, tájékoztatjuk Önt arról, hogy a sebezhetőséget orvosoltuk
• az Ön által megadott személyes adatokat (például e-mail-címét és nevét) az alkalmazandó adatvédelmi jogszabályoknak megfelelően kezeljük, és az Ön engedélye nélkül nem adjuk át azokat harmadik feleknek
• amennyiben ehhez az első e-mailjében hozzájárult, és amennyiben nyilvánosságra hozzuk a problémát, ezzel egyidejűleg az Ön – mint a problémát feltáró személy – nevét közzétesszük