Úvod V súlade s rozhodnutím Komisie (ES) 2017/46 je pre Európsku komisiu bezpečnosť jej komunikačných a informačných systémov najvyššou prioritou. Napriek maximálnemu úsiliu však nie je nikdy možné zraniteľné miesta odstrániť úplne. Ak sa takéto zraniteľné miesta odkryjú a zneužijú, ohrozí to dôvernosť, integritu alebo dostupnosť systémov Európskej komisie a informácií, ktoré sa v nich spracúvajú. V tejto politike týkajúcej sa poskytovania informácií o zraniteľnosti sa opisuje, ktoré systémy a typy testov sú povolené a ako zasielať správy o zraniteľnosti. Vyzývame vás, aby ste nás kontaktovali a informovali o možných bezpečnostných problémoch v našich systémoch. Dodržiavajte pritom túto politiku. Povolenie Ak pri identifikácii a oznamovaní zraniteľných miest v systémoch Európskej komisie konáte v dobrej viere, budeme s Vami v súlade s touto politikou spolupracovať na rýchlom pochopení a vyriešení problémov. Pokiaľ sa budete riadiť usmerneniami tejto politiky, Európska komisia nebude podnikať právne kroky v súvislosti s Vašimi činnosťami zameranými na identifikáciu zraniteľných miest v našich systémoch. Rozsah pôsobnosti Táto politika sa vzťahuje na všetky internetové systémy Európskej komisie vrátane celej prítomnosti Európskej komisie na internete *.ec.europa.eu/* *.commission.europa.eu/* verejných IP adries v rámci ASN 42848 a súvisiacich služieb akéhokoľvek iného softvéru uverejneného Európskou komisiou. Všetky služby, ktoré nie sú výslovne uvedené vyššie, sú vylúčené z rozsahu pôsobnosti a nie sú povolené na testovanie. Okrem toho, zraniteľné miesta zistené v systémoch od predajcov sú takisto vylúčené z rozsahu pôsobnosti a mali by sa oznamovať priamo predajcovi v súlade s jeho vlastnou (prípadnou) politikou poskytovania informácií. Usmernenia Pri vykonávaní Vašich činností je nevyhnutné, aby ste nevyužívali zraniteľnosť alebo problém, ktoré ste identifikovali, napríklad sťahovaním väčšieho množstva údajov, než je potrebné na preukázanie zraniteľnosti, vymazaním alebo úpravou údajov iných osôb používali len neškodné exploity na potvrdenie výskytu zraniteľnosti neodhalili žiadne údaje stiahnuté počas Vášho zisťovania verejnosti ani žiadnej inej strane neodhalili zraniteľnosť alebo problém verejnosti ani iným stranám, pokiaľ sa nevyriešia ukončili svoje testovanie hneď, ako narazíte na akékoľvek citlivé informácie (informácie o totožnosti, lekárske, finančné, chránené informácie alebo obchodné tajomstvá), a okamžite nás o tom upovedomili, pričom žiadne získané údaje nesmiete poskytnúť nikomu inému. Nevykonávajte tieto činnosti: umiestnenie malvéru (vírus, červ, trójsky kôň atď.) do akéhokoľvek systému ohrozenie systémov využitím exploitov na získanie úplnej alebo čiastočnej kontroly kopírovanie, upravovanie alebo vymazávanie údajov zo systému vykonávanie zmien systému opakovaný prístup do systému alebo zdieľanie prístupu s inými verejnými stranami použitie akéhokoľvek získaného prístupu na pokus o prístup k iným systémom menenie prístupových práv iných používateľov používanie automatizovaných skenovacích nástrojov útok hrubou silou na prístup do ktoréhokoľvek zo systémov vyradenie služby alebo sociálne inžinierstvo (phishing, vishing, spam atď.) útoky na fyzickú bezpečnosť. Oznamovanie zraniteľnosti Čo od Vás očakávame Ak ste zistili zraniteľnosť, prosím: pošlite svoje zistenia čo najskôr e-mailom na adresu EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) a uveďte, či súhlasíte so zverejnením Vášho mena alebo pseudonymu ako objaviteľa problému zašifrujte svoje zistenia pomocou nášho kľúča PGP, aby sa zabránilo, že sa tieto kľúčové informácie dostanú do nesprávnych rúk poskytnite nám dostatočné informácie na reprodukovanie problému, aby sme ho mohli čo najskôr vyriešiť (vo väčšine prípadov bude postačovať IP adresa alebo URL dotknutého systému a opis zraniteľnosti, ale zložité zraniteľnosti si môžu vyžadovať ďalšie vysvetlenie, pokiaľ ide o technické informácie alebo potenciálny kód PoC) poskytnite svoju správu podľa možnosti v angličtine, prípadne v akomkoľvek inom úradnom jazyku Európskej únie. Čo môžete od nás očakávať Ak nám zraniteľnosť nahlásite, sľubujeme Vám, že: odpovieme na Vašu správu do troch (3) pracovných dní s naším vyhodnotením v súvislosti so zisteniami Vašej správy budeme k Vašej správe pristupovať v rámci zásad prísnej dôvernosti vždy, keď to bude možné, Vás budeme informovať o tom, že zistená nezrovnalosť bola odstránená spracujeme osobné údaje, ktoré poskytnete (napríklad Vašu e-mailovú adresu a meno), v súlade s platnými právnymi predpismi o ochrane údajov, a bez Vášho súhlasu nepostúpime Vaše osobné údaje tretím stranám zverejníme Vaše meno ako objaviteľa problému, ak ste s tým súhlasili vo Vašom pôvodnom e-maile a ak my tento problém zverejníme.