Introdução
Em conformidade com a Decisão EC 2017/46 da Comissão, na Comissão Europeia a segurança dos nossos sistemas de comunicação e informação é uma prioridade máxima.
No entanto, apesar de todos os esforços, as vulnerabilidades nunca podem ser completamente suprimidas. Sempre que são identificadas e exploradas vulnerabilidades, colocam-se em risco a confidencialidade, a integridade ou a disponibilidade dos sistemas da Comissão Europeia, bem como das informações neles tratadas.
A presente política de divulgação de vulnerabilidades descreve quais os sistemas e tipos de testes autorizados e o modo como devem ser enviados os relatórios de vulnerabilidades. Incitamo-lo a contactar-nos para comunicar eventuais problemas de segurança nos nossos sistemas, seguindo esta política.
Autorização
Caso aja de boa-fé para identificar e comunicar vulnerabilidades nos sistemas da Comissão Europeia, no cumprimento da presente política iremos colaborar consigo para compreender e resolver rapidamente os problemas.
A Comissão Europeia não intentará ações judiciais relacionadas com as suas atividades de identificação de vulnerabilidades nos nossos sistemas, desde que siga as orientações constantes desta política.
Âmbito de aplicação
A presente política aplica-se a todos os sistemas da Comissão Europeia expostos à Internet, nomeadamente:
- toda a presença da Comissão Europeia na Web
- *.ec.europa.eu/*
- *.commission.europa.eu/*
- IP públicos publicitados no âmbito do ASN 42848 e serviços conexos
- qualquer outro software publicado pela Comissão Europeia
Os serviços não expressamente mencionados supra estão excluídos do âmbito de aplicação e não podem ser objeto de testes.
Além disso, as vulnerabilidades detetadas em sistemas de fornecedores estão igualmente excluídas do âmbito de aplicação, devendo ser comunicadas diretamente ao fornecedor de acordo com a sua própria política de divulgação (se aplicável).
Orientações
No exercício das suas atividades, é imperativo que:
- não tire partido da vulnerabilidade ou do problema que detetou, por exemplo, descarregando mais dados do que o necessário para demonstrar a vulnerabilidade, eliminando ou modificando dados de outras pessoas
- utilize apenas exploração inofensiva para confirmar a presença de uma vulnerabilidade
- não revele, ao público ou a outras partes, quaisquer dados descarregados durante a descoberta
- não revele, ao público ou a outras partes, a vulnerabilidade ou o problema, enquanto este não tiver sido resolvido
- interrompa os testes quando descobrir quaisquer informações sensíveis (informações pessoais identificáveis — médicas, financeiras, confidenciais ou segredos comerciais), nos notifique imediatamente e não divulgue quaisquer dados obtidos a outrem
Não realize as seguintes ações:
- introduzir código malicioso (vírus, vermes, «cavalos de Troia», etc.) num sistema
- comprometer quaisquer sistemas, explorando vulnerabilidades para obter controlo total ou parcial
- copiar, alterar ou eliminar dados do sistema
- introduzir alterações no sistema
- aceder repetidamente ao sistema ou partilhar o acesso com o público ou outras partes
- utilizar qualquer acesso obtido para tentar aceder a outros sistemas
- alterar os direitos de acesso de outros utilizadores
- utilizar ferramentas de exploração automática
- utilizar um ataque de «força bruta» para aceder a outros sistemas
- utilizar negação de serviço ou engenharia social (phishing, vishing, spam, etc.)
- utilizar ataques à segurança física
Notificar uma vulnerabilidade
Como gostaríamos que agisse
Se tiver identificado uma vulnerabilidade,
- informe-nos sobre o que descobriu o mais rapidamente possível para EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), especificando se aceita ou não que o seu nome ou pseudónimo seja disponibilizado ao público como autor da descoberta do problema
- encripte as suas informações utilizando a nossa chave PGP para evitar que esta informação crítica caia em mãos erradas
- forneça-nos informações suficientes para reproduzir o problema, de modo a que o possamos resolver o mais rapidamente possível. Regra geral, o endereço IP ou o URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem exigir explicações adicionais em termos de informações técnicas ou potencial código de prova de conceito
- envie essas informações em inglês, de preferência, ou em qualquer outra língua oficial da União Europeia.
O que pode esperar de nós
Pela nossa parte, quando nos comunicar uma vulnerabilidade, comprometemo-nos a:
- responder no prazo de três (3) dias úteis, enviando a nossa avaliação da informação que nos enviou
- tratar a informação que nos enviou com estrita confidencialidade
- informá-lo, sempre que possível, quando a vulnerabilidade for corrigida
- tratar os dados pessoais que fornecer (por exemplo, o seu endereço eletrónico e o seu nome) em conformidade com a legislação aplicável em matéria de proteção de dados e não transmitir os seus dados pessoais a terceiros sem o seu consentimento
- publicar o seu nome, atribuindo-lhe a autoria da deteção do problema, se tiver concordado com esta divulgação na sua mensagem de correio eletrónico inicial, caso divulguemos publicamente o problema