Glavni sadržaj
Logotip Europske komisije
hr
Europska komisija
  • Naši prioriteti
    Saznajte kako EU gradi održivu, konkurentnu i uključivu budućnost kroz svojih sedam ključnih prioriteta.
    IZDVOJENO
  • Vijesti i mediji
    Pratite vijesti Europske komisije. Pregledajte novosti, objave, materijale za medije i audiovizualni sadržaj.
  • Teme od A do Z
    Saznajte više o politikama EU-a na korist građana, poduzeća i drugih dionika u EU-u
  • IZDVOJENO
  • IZDVOJENO
  • IZDVOJENO
  •  
  • Saznajte više
  • Resursi
    Pristup nizu resursa kao što su publikacije, statistički podaci, nastavni materijali te alati i aplikacije za dionike
  • Eurobarometar
  • Pravo EU-a
  • Kutak za učenje
  • Europa Web Guide
  • European Commission visual identity
  •  
  • Saznajte više
  • Uključite se
    Podijelite svoja stajališta o propisima i politikama EU-a, raspravljajte o budućnosti Europe i pronađite financijska sredstva za svoje projekte.
  • Radna mjesta
  • Financiranje i natječaji
  • Događanja
  • Europska komisija na društvenim mrežama
  •  
  • Saznajte više

    • Politika otkrivanja ranjivosti

    Uvod

    Za Europsku komisiju sigurnost naših komunikacijskih i informacijskih sustava jedan je od glavnih prioriteta u skladu s Odlukom Komisije (EU, Euratom) 2017/46.

    Međutim, slabe točke ne mogu se potpuno ukloniti uza sav trud. Iskorištavanje utvrđenih ranjivosti ugrožava povjerljivost, cjelovitost ili dostupnost sustava Europske komisije i informacija koje se u njima obrađuju.

    U toj se politici otkrivanja ranjivosti opisuje koji su sustavi i vrste testova odobreni te kako slati izvješća o ranjivostima. Potičemo vas da nam javite sigurnosne probleme koji bi mogli nastati u našim sustavima budemo li slijedili tu politiku.

    Odobrenje

    Ako u dobroj vjeri nastojite utvrditi i prijaviti ranjivosti u sustavima Europske komisije, surađivat ćemo s vama u skladu s tom politikom kako bismo te probleme razumjeli i brzo riješili.
    Europska komisija neće poduzimati pravne mjere povezane s vašim aktivnostima utvrđivanja ranjivosti u našim sustavima sve dok slijedite smjernice iz ove politike.

    Područje primjene

    Ta se politika primjenjuje na sve internetske sustave Europske komisije, uključujući:

    • sve internetske stranice Europske komisije
      • *.ec.europa.eu/*
      • *.commission.europa.eu/*
    • javne IP adrese oglašene pod ASN 42848 i povezane usluge
    • bilo koji drugi softver koji je objavila Europska komisija.

    Sve usluge koje nisu izričito navedene isključene su iz područja primjene i njihovo testiranje nije odobreno.
    Ranjivosti koje su u sustavima utvrdili dobavljači također su isključene iz područja primjene i trebalo bi ih prijaviti izravno prodavatelju u skladu s njegovom politikom otkrivanja (ako je primjenjivo).

    Smjernice

    Pri obavljanju svojih aktivnosti od ključne je važnosti:

    • da ne iskorištavate ranjivost ili problem koji ste otkrili, na primjer preuzimanjem više podataka nego što je potrebno za dokazivanje te ranjivosti, brisanjem ili izmjenom podataka drugih osoba
    • da prisutnost ranjivosti potvrdite isključivo bezopasnim radnjama
    • da ne otkrivate nikakve podatke preuzete tijekom otkrivanja javnosti ili bilo kojoj drugoj strani
    • da ne otkrivate ranjivost ili problem javnosti ili drugim stranama dok se ne riješi
    • da prekinete testiranje čim otkrijete osjetljive informacije (osobne identifikacijske informacije – PII, medicinske, financijske, zaštićene informacije ili poslovne tajne), odmah nas obavijestite i nikome ne otkrivate dobivene podatke.

    Nemojte činiti sljedeće:

    • unijeti zlonamjerni softver (virus, crv, trojanski konj itd.) ni u koji sustav
    • ugroziti nijedan sustav koji iskorištavanja ranjivost kako biste ostvarili potpunu ili djelomičnu kontrolu
    • kopirati, mijenjati ili brisati podatke iz sustava
    • unositi promjene u sustav
    • opetovano pristupati sustavu ili dijeliti pristup s javnim drugim stranama
    • koristiti se bilo kojim ostvarenim pristupom kako biste pokušali pristupiti drugim sustavima
    • mijenjati prava pristupa drugih korisnika
    • koristiti se alatima za automatizirano skeniranje
    • koristiti se napadima uzastopnim pokušavanjem kako biste pristupili bilo kojem sustavu
    • koristiti se uskraćivanjem usluge ili socijalnim inženjeringom (phishing, vishing, neželjena pošta itd.)
    • napadati fizičku sigurnost.

    Prijavljivanje ranjivosti

    Što bismo htjeli od vas

    Ako utvrdite ranjivost:

    • što prije pošaljite svoje nalaze na EC-VULNERABILITY-DISCLOSUREatec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu) i navedite slažete li se s time da se vaše ime ili pseudonim objave kao ime ili pseudonim osobe koja je otkrila problem
    • šifrirajte svoje nalaze s pomoću našeg PGP ključa kako biste spriječili da te važne informacije dospiju u krive ruke
    • navedite dovoljno informacija kako bismo mogli reproducirati problem i što prije ga riješiti. Obično će biti dovoljna IP adresa ili URL zahvaćenog sustava i opis ranjivosti, ali za složene ranjivosti moglo bi biti nužno dodatno objašnjenje u smislu tehničkih informacija ili mogućeg koda za provjeru koncepta
    • po mogućnosti dostavite svoje izvješće na engleskom jeziku ili na bilo kojem drugom službenom jeziku Europske unije.

    Što možete očekivati od nas

    Ako nam prijavite ranjivost, zauzvrat obećavamo:

    • da ćemo na vaše izvješće odgovoriti u roku od tri (3) radna dana tako da vam dostavimo svoju evaluaciju izvješća
    • da ćemo s vašim izvješćem strogo povjerljivo postupati
    • da ćemo vas obavijestiti o otklanjanju ranjivosti bude li to moguće
    • da ćemo osobne podatke koje navedete (kao što su adresa e-pošte i ime) obrađivati u skladu s primjenjivim zakonodavstvom o zaštiti podataka i da ih nećemo prenositi trećim stranama bez vašeg dopuštenja
    • da ćemo vaše ime objaviti kao ime osobe koja je otkrila problem, ako ste na to pristali u svojoj početnoj e-poruci, kad i ako problem otkrijemo javnosti.