Direct la conținutul principal
Logoul Comisiei Europene
roro

Politica privind divulgarea vulnerabilităților

Introducere

În cadrul Comisiei Europene, securitatea sistemelor noastre informatice și de comunicații reprezintă o prioritate absolută, în conformitate cu Decizia CE 2017/46 a Comisiei.

Cu toate acestea, vulnerabilitățile nu pot fi niciodată eliminate complet, în pofida tuturor eforturilor depuse. Atunci când vulnerabilitățile sunt identificate și exploatate, confidențialitatea, integritatea sau disponibilitatea sistemelor Comisiei Europene și a informațiilor prelucrate în cadrul acestora sunt puse în pericol.

Politica de divulgare a vulnerabilităților descrie sistemele și tipurile de teste care sunt autorizate și modalitățile de semnalare a vulnerabilităților. Vă încurajăm să ne contactați pentru a raporta eventualele probleme de securitate din sistemele noastre, respectând această politică.

Autorizare

Dacă acționați cu bună credință pentru a identifica și raporta vulnerabilitățile sistemelor Comisiei Europene, respectând în același timp această politică, vom colabora cu dumneavoastră pentru a înțelege și a soluționa rapid problemele.
Comisia Europeană nu va iniția acțiuni în justiție în legătură cu activitățile dumneavoastră de identificare a vulnerabilităților sistemelor noastre atâta timp cât respectați orientările acestei politici.

Domeniu de aplicare

Această politică se aplică tuturor sistemelor Comisiei Europene care funcționează pe internet, inclusiv

  • întreaga prezență pe internet a Comisiei Europene
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • IP-urile publice aparținând ASN 42848 și serviciile asociate
  • orice alt software publicat de Comisia Europeană

Toate serviciile care nu sunt enumerate în mod expres mai sus sunt excluse din domeniul de aplicare și nu pot fi testate.
În plus, vulnerabilitățile identificate în sisteme de către fabricanții acestora sunt, de asemenea, excluse din domeniul de aplicare și trebuie raportate direct fabricanților în conformitate cu propria lor politică în materie de divulgare a vulnerabilităților (dacă este cazul).

Orientări

În exercitarea activității dumneavoastră, este imperativ să

  • nu profitați de vulnerabilitatea sau de problema pe care ați descoperit-o, de exemplu descărcând mai multe date decât este necesar pentru a demonstra vulnerabilitatea, ștergând sau modificând datele altor persoane
  • utilizați numai exploituri inofensive pentru a confirma prezența unei vulnerabilități
  • nu dezvăluiți publicului sau altor părți datele descărcate în contextul descoperirii vulnerabilității respective
  • nu dezvăluiți vulnerabilitatea sau problema publicului sau altor părți până la soluționarea acesteia
  • încetați testele atunci când descoperiți informații sensibile (informații de identificare personală, informații medicale, financiare sau confidențiale ori secrete comerciale) și nu dezvăluiți datele obținute niciunei alte persoane

Nu efectuați următoarele acțiuni:

  • introducerea de programe malware (virus, viermi, cal troian etc.) pe un sistem
  • compromiterea unui sistem care utilizează exploituri pentru a prelua controlul total sau parțial
  • copierea, modificarea sau ștergerea de date din sistem
  • efectuarea de modificări ale sistemului
  • accesarea repetată a sistemului sau partajarea accesului cu publicul și alte părți
  • utilizarea accesului obținut pentru a încerca accesarea altor sisteme
  • modificarea drepturilor de acces ale altor utilizatori
  • utilizarea instrumentelor de scanare automată
  • utilizarea unui așa-numit atac prin „forță brută” pentru a accesa un sistem
  • utilizarea blocării accesului sau a manipulării psihosociale (phishing, vishing, spam etc.)
  • utilizarea atacurilor la adresa securității fizice

Raportarea unei vulnerabilități

Ce așteptăm de la dumneavoastră

Dacă ați identificat o vulnerabilitate, vă rugăm

  • să trimiteți constatările dumneavoastră cât mai curând posibil la adresa EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), specificând dacă sunteți sau nu de acord ca numele sau pseudonimul dumneavoastră să fie pus la dispoziția publicului în calitate de descoperitor al problemei
  • să vă criptați constatările utilizând cheia noastră PGP pentru a evita ca aceste informații critice să încapă pe mâini rele
  • să ne oferiți suficiente informații pentru a reproduce problema, astfel încât să o putem rezolva cât mai curând posibil. De obicei, adresa IP sau URL-ul sistemului afectat și o descriere a vulnerabilității vor fi suficiente, dar vulnerabilitățile complexe pot necesita explicații suplimentare, cum ar fi informații tehnice sau un cod potențial de validare a conceptului.
  • să vă redactați raportul, de preferință în limba engleză, sau în orice altă limbă oficială a Uniunii Europene

Ce puteți aștepta de la noi

În schimb, dacă ne semnalați o vulnerabilitate, ne angajăm:

  • să vă răspundem în termen de trei (3) zile lucrătoare cu o evaluare a problemei semnalate
  • să tratăm raportul dumneavoastră în mod strict confidențial
  • dacă este posibil, să vă informăm când este remediată vulnerabilitatea
  • să vă prelucrăm datele cu caracter personal pe care ni le furnizați (cum ar fi adresa de e-mail și numele dumneavoastră) în conformitate cu legislația aplicabilă privind protecția datelor și să nu vă transmitem datele cu caracter personal unor părți terțe fără permisiunea dumneavoastră
  • să vă publicăm numele în calitate de descoperitor al problemei, dacă ați fost de acord cu acest lucru în e-mailul dumneavoastră inițial, când și dacă publicăm problema