Prejsť na hlavný obsah
Logo Európskej komisie
sksk

Politika týkajúca sa poskytovania informácií o zraniteľnosti

Úvod

V súlade s rozhodnutím Komisie (ES) 2017/46 je pre Európsku komisiu bezpečnosť jej komunikačných a informačných systémov najvyššou prioritou.

Napriek maximálnemu úsiliu však nie je nikdy možné zraniteľné miesta odstrániť úplne. Ak sa takéto zraniteľné miesta odkryjú a zneužijú, ohrozí to dôvernosť, integritu alebo dostupnosť systémov Európskej komisie a informácií, ktoré sa v nich spracúvajú.

V tejto politike týkajúcej sa poskytovania informácií o zraniteľnosti sa opisuje, ktoré systémy a typy testov sú povolené a ako zasielať správy o zraniteľnosti. Vyzývame vás, aby ste nás kontaktovali a informovali o možných bezpečnostných problémoch v našich systémoch. Dodržiavajte pritom túto politiku.

Povolenie

Ak pri identifikácii a oznamovaní zraniteľných miest v systémoch Európskej komisie konáte v dobrej viere, budeme s Vami v súlade s touto politikou spolupracovať na rýchlom pochopení a vyriešení problémov.
Pokiaľ sa budete riadiť usmerneniami tejto politiky, Európska komisia nebude podnikať právne kroky v súvislosti s Vašimi činnosťami zameranými na identifikáciu zraniteľných miest v našich systémoch.

Rozsah pôsobnosti

Táto politika sa vzťahuje na všetky internetové systémy Európskej komisie vrátane

  • celej prítomnosti Európskej komisie na internete
    • *.ec.europa.eu/*
    • *.commission.europa.eu/*
  • verejných IP adries v rámci ASN 42848 a súvisiacich služieb
  • akéhokoľvek iného softvéru uverejneného Európskou komisiou.

Všetky služby, ktoré nie sú výslovne uvedené vyššie, sú vylúčené z rozsahu pôsobnosti a nie sú povolené na testovanie.
Okrem toho, zraniteľné miesta zistené v systémoch od predajcov sú takisto vylúčené z rozsahu pôsobnosti a mali by sa oznamovať priamo predajcovi v súlade s jeho vlastnou (prípadnou) politikou poskytovania informácií.

Usmernenia

Pri vykonávaní Vašich činností je nevyhnutné, aby ste

  • nevyužívali zraniteľnosť alebo problém, ktoré ste identifikovali, napríklad sťahovaním väčšieho množstva údajov, než je potrebné na preukázanie zraniteľnosti, vymazaním alebo úpravou údajov iných osôb
  • používali len neškodné exploity na potvrdenie výskytu zraniteľnosti
  • neodhalili žiadne údaje stiahnuté počas Vášho zisťovania verejnosti ani žiadnej inej strane
  • neodhalili zraniteľnosť alebo problém verejnosti ani iným stranám, pokiaľ sa nevyriešia
  • ukončili svoje testovanie hneď, ako narazíte na akékoľvek citlivé informácie (informácie o totožnosti, lekárske, finančné, chránené informácie alebo obchodné tajomstvá), a okamžite nás o tom upovedomili, pričom žiadne získané údaje nesmiete poskytnúť nikomu inému.

Nevykonávajte tieto činnosti:

  • umiestnenie malvéru (vírus, červ, trójsky kôň atď.) do akéhokoľvek systému
  • ohrozenie systémov využitím exploitov na získanie úplnej alebo čiastočnej kontroly
  • kopírovanie, upravovanie alebo vymazávanie údajov zo systému
  • vykonávanie zmien systému
  • opakovaný prístup do systému alebo zdieľanie prístupu s inými verejnými stranami
  • použitie akéhokoľvek získaného prístupu na pokus o prístup k iným systémom
  • menenie prístupových práv iných používateľov
  • používanie automatizovaných skenovacích nástrojov
  • útok hrubou silou na prístup do ktoréhokoľvek zo systémov
  • vyradenie služby alebo sociálne inžinierstvo (phishing, vishing, spam atď.)
  • útoky na fyzickú bezpečnosť.

Oznamovanie zraniteľnosti

Čo od Vás očakávame

Ak ste zistili zraniteľnosť, prosím:

  • pošlite svoje zistenia čo najskôr e-mailom na adresu EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) a uveďte, či súhlasíte so zverejnením Vášho mena alebo pseudonymu ako objaviteľa problému
  • zašifrujte svoje zistenia pomocou nášho kľúča PGP, aby sa zabránilo, že sa tieto kľúčové informácie dostanú do nesprávnych rúk
  • poskytnite nám dostatočné informácie na reprodukovanie problému, aby sme ho mohli čo najskôr vyriešiť (vo väčšine prípadov bude postačovať IP adresa alebo URL dotknutého systému a opis zraniteľnosti, ale zložité zraniteľnosti si môžu vyžadovať ďalšie vysvetlenie, pokiaľ ide o technické informácie alebo potenciálny kód PoC)
  • poskytnite svoju správu podľa možnosti v angličtine, prípadne v akomkoľvek inom úradnom jazyku Európskej únie.

Čo môžete od nás očakávať

Ak nám zraniteľnosť nahlásite, sľubujeme Vám, že:

  • odpovieme na Vašu správu do troch (3) pracovných dní s naším vyhodnotením v súvislosti so zisteniami Vašej správy
  • budeme k Vašej správe pristupovať v rámci zásad prísnej dôvernosti
  • vždy, keď to bude možné, Vás budeme informovať o tom, že zistená nezrovnalosť bola odstránená
  • spracujeme osobné údaje, ktoré poskytnete (napríklad Vašu e-mailovú adresu a meno), v súlade s platnými právnymi predpismi o ochrane údajov, a bez Vášho súhlasu nepostúpime Vaše osobné údaje tretím stranám
  • zverejníme Vaše meno ako objaviteľa problému, ak ste s tým súhlasili vo Vašom pôvodnom e-maile a ak my tento problém zverejníme.