Inleiding
Bij de Europese Commissie is de beveiliging van onze communicatie- en informatiesystemen een topprioriteit, in overeenstemming met Besluit (EG) nr. 2017/46 van de Commissie.
Kwetsbaarheden kunnen echter nooit volledig worden uitgesloten, ondanks alle inspanningen. Wanneer kwetsbaarheden worden ontdekt en uitgebuit, brengt dit de vertrouwelijkheid, integriteit of beschikbaarheid van de systemen van de Europese Commissie en de daarin verwerkte informatie in gevaar.
In dit beleid inzake de openbaarmaking van kwetsbaarheden wordt beschreven welke systemen en soorten tests zijn toegestaan en hoe kwetsbaarheidsverslagen moeten worden verzonden. Wij raden u aan contact met ons op te nemen om mogelijke veiligheidsproblemen in onze systemen te melden.
Machtiging
Als u te goeder trouw handelt om kwetsbaarheden in de systemen van de Europese Commissie op te sporen en te melden in overeenstemming met dit beleid, zullen wij met u samenwerken om de problemen snel te begrijpen en op te lossen.
De Europese Commissie zal geen gerechtelijke stappen ondernemen in verband met uw activiteiten om kwetsbaarheden in onze systemen vast te stellen zolang u de richtlijnen van dit beleid volgt.
Toepassingsgebied
Dit beleid is van toepassing op alle internetsystemen van de Europese Commissie, waaronder:
- alle websites van de Europese Commissie
- *.ec.europa.eu/*
- *.commission.europa.eu/*
- in het kader van ASN 42848 geadverteerde openbare IP’s en bijbehorende diensten
- andere door de Europese Commissie gepubliceerde software
Diensten die hierboven niet uitdrukkelijk zijn vermeld, zijn van het toepassingsgebied uitgesloten en mogen niet worden getest.
Bovendien zijn kwetsbaarheden die in systemen van verkopers worden aangetroffen, ook uitgesloten van het toepassingsgebied en moeten deze rechtstreeks aan de verkoper worden gemeld overeenkomstig hun eigen openbaarmakingsbeleid (indien van toepassing).
Richtlijnen
Bij het uitvoeren van uw activiteiten is het absoluut noodzakelijk dat u:
- geen gebruik maakt van de kwetsbaarheid of het probleem dat u heeft ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen, gegevens van anderen te wissen of te wijzigen
- alleen onschadelijke handelingen uitvoert om te bevestigen dat er sprake is van kwetsbaarheid
- tijdens de ontdekking gedownloade gegevens niet openbaar maakt of aan andere partijen onthult
- de kwetsbaarheid of het probleem pas openbaar maakt of aan andere partijen meldt na de oplossing ervan
- uw tests stopzet wanneer u gevoelige informatie ontdekt (persoonlijk identificeerbare informatie, medische, financiële, door eigendomsrechten beschermde informatie of bedrijfsgeheimen), dit onmiddellijk aan ons meldt en geen verkregen gegevens aan anderen bekendmaakt
Voer de volgende handelingen niet uit :
- malware (virus, worm, Trojaans paard enz.) op een systeem plaatsen
- systemen compromitteren door er volledige of gedeeltelijke controle over te verkrijgen
- gegevens uit het systeem kopiëren, wijzigen of verwijderen
- wijzigingen aanbrengen in het systeem
- herhaaldelijk toegang krijgen tot het systeem of delen met het publiek of andere partijen
- verkregen toegang gebruiken om toegang te krijgen tot andere systemen
- toegangsrechten van andere gebruikers wijzigen
- geautomatiseerde scanners gebruiken
- met “bruut geweld” toegang krijgen tot een systeem
- denial-of-service of social engineering (phishing, vishing, spam enz.)
- aanvallen op fysieke beveiliging
Een kwetsbaarheid melden
Wat we van u willen zien
Hebt u een kwetsbaarheid vastgesteld, gelieve dan
- uw bevindingen zo snel mogelijk naar EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) te sturen, met vermelding of u er al dan niet mee instemt dat uw naam of pseudoniem openbaar wordt gemaakt als ontdekker van het probleem.
- uw bevindingen met behulp van onze PGP-sleutel te versleutelen om te voorkomen dat deze kritieke informatie in de verkeerde handen valt
- ons voldoende informatie te geven om het probleem te reproduceren, zodat het zo snel mogelijk kan worden opgelost. Doorgaans volstaan het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar complexe kwetsbaarheden kunnen nadere uitleg vereisen in termen van technische informatie of potentiële proof-of-conceptcode.
- uw verslag bij voorkeur in het Engels op te stellen, of in een andere officiële taal van de Europese Unie
Wat u van ons kunt verwachten
In ruil daarvoor beloven wij het volgende wanneer u ons een kwetsbaarheid meldt:
- we reageren binnen drie (3) werkdagen op uw verslag met onze evaluatie ervan
- we behandelen uw verslag strikt vertrouwelijk
- we stellen u zo mogelijk op de hoogte wanneer de kwetsbaarheid is verholpen
- we verwerken de persoonsgegevens die u verstrekt (zoals uw e-mailadres en uw naam) in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en geven uw persoonsgegevens niet zonder uw toestemming aan derden door
- we publiceren uw naam als ontdekker van het probleem, als u hiermee akkoord bent gegaan in uw eerste e-mail, wanneer en indien wij het probleem openbaar maken