Úvod Bezpečnost komunikačních a informačních systémů Evropské komise je naší prioritou, a to v souladu s rozhodnutím Komise (EU) 2017/46. Navzdory maximálnímu úsilí však nelze zranitelnost nikdy zcela vyloučit. Pokud jsou slabá místa identifikována a zneužita, ohrožuje to důvěrnost, integritu nebo dostupnost systémů Evropské komise a informací v nich zpracovávaných. Níže je popsáno, jaké systémy a typy testů jsou povoleny a jak zasílat zprávy o zjištěné zranitelnosti. Vyzýváme vás proto, abyste nás na základě tohoto postupu kontaktovali a informovali o možných bezpečnostních problémech v našich systémech. Povolení Pokud jednáte v dobré víře, abyste při dodržování tohoto postupu identifikovali a oznámili slabá místa v systémech Evropské komise, budeme s vámi spolupracovat na rychlém vyřešení zjištěných problémů. Evropská komise nebude podnikat žádné právní kroky v souvislosti s vaší činností, která spočívá v identifikaci slabých míst v našich systémech, pokud se budete řídit těmito pokyny. Oblast působnosti Tento postup se vztahuje na všechny internetové systémy Evropské komise, včetně: všech webových stránek Evropské komise *.ec.europa.eu/* *.commission.europa.eu/* veřejných IP adres inzerovaných pod ASN 42848 a souvisejících služeb jakéhokoli jiného softwaru zveřejněného Evropskou komisí Všechny služby, které nejsou výslovně uvedeny výše, jsou z oblasti působnosti vyloučeny a testování na nich není povoleno. Kromě toho jsou z oblasti působnosti vyloučeny také zranitelnosti zjištěné v systémech prodejců, které by měly být hlášeny přímo prodejcům, a to v souladu s jejich politikou zveřejňování (je-li to relevantní). Pokyny Při výkonu vaší činnosti je naprosto nezbytné, abyste: nezneužili zranitelnost nebo problém, které jste odhalili, například stažením více dat, než je nezbytné nutné k prokázání zranitelnosti, vymazáním nebo pozměněním údajů jiných osob použili pouze neškodné zneužívání k potvrzení toho, že zranitelnost existuje nezveřejnili žádná data, která jste během testu stáhli, na veřejnosti ani žádné jiné straně neodhalili zranitelnost nebo problém na veřejnosti ani jiným stranám, dokud nebudou vyřešeny ukončili testování, když objevíte jakékoli citlivé informace (informace o totožnosti – lékařské, finanční, chráněné informace nebo obchodní tajemství), okamžitě nám to oznámili a nesdělovali žádné získané údaje nikomu jinému Neprovádějte tyto činnosti: neumísťujte do kteréhokoli systému malware (počítačový virus, červ, trojský kůň apod.) neohrožujte žádné systémy tím, že byste nad nimi získali plnou nebo částečnou kontrolu nekopírujte, neupravujte ani nemažte data ze systému neprovádějte změny v systému nevstupujte opakovaně do systému ani tento přístup nesdílejte s veřejností či jinými stranami nesnažte se využít získaný přístup k pokusu o přístup do jiných systémů neměňte přístupová práva ostatních uživatelů nepoužívejte automatizované skenovací nástroje nepoužívejte útok hrubou silou k získání přístupu do jakéhokoli systému nepoužívejte útok odmítnutím služby nebo sociální inženýrství (phishing, vishing, spam apod.) nepoužívejte útoky na fyzickou bezpečnost Nahlášení zranitelnosti Co od vás očekáváme Pokud jste odhalili zranitelnost: co nejdříve zašlete svá zjištění e-mailem na adresu EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) a uveďte, zda souhlasíte s tím, aby vaše jméno nebo přezdívka byly zveřejněny jako objevitele problému zašifrujte svá zjištění pomocí našeho klíče PGP, aby se tyto kritické informace nedostaly do nesprávných rukou poskytněte nám dostatek informací, abychom mohli problém reprodukovat a co nejrychleji jej vyřešit (Obvykle bude postačovat IP adresa nebo adresa URL dotčeného systému a popis zranitelnosti, ale složité problémy mohou vyžadovat další vysvětlení, pokud jde o technické informace nebo potenciální kód ověření koncepce.) napište svou zprávu pokud možno v angličtině, nebo v jakémkoli jiném úředním jazyce Evropské unie Co můžete očekávat od nás Pokud nám zranitelnost nahlásíte, můžeme vám na oplátku slíbit následující: odpovíme vám do tří pracovních dnů a zašleme vám vyhodnocení vaší zprávy budeme nakládat s vaší zprávou přísně důvěrně pokud to bude možné, budeme vás informovat o tom, že zranitelnost byla odstraněna budeme zpracovávat osobní údaje, které nám poskytnete (např. vaší e-mailovou adresu a jméno), v souladu s platnými právními předpisy o ochraně údajů a bez vašeho souhlasu je nebude předávat třetím stranám zveřejníme vaše jméno jako objevitele problému, pokud s tím budete ve svém původním e-mailu souhlasit a pokud problém vůbec zveřejníme
