Introducción
En la Comisión Europea, la seguridad de nuestros sistemas de información y comunicación es una prioridad absoluta, en consonancia con la Decisión CE 2017/46 de la Comisión.
Sin embargo, aunque hacemos todo lo que está en nuestras manos, las vulnerabilidades nunca pueden eliminarse por completo. Cuando se detectan y aprovechan vulnerabilidades, se pone en peligro la confidencialidad, integridad o disponibilidad de los sistemas de la Comisión Europea y de la información tratada en ellos.
Esta política de divulgación de vulnerabilidades describe qué sistemas y tipos de pruebas están autorizados y cómo enviar informes sobre vulnerabilidades. Le animamos a ponerse en contacto con nosotros para informar sobre posibles problemas de seguridad en nuestros sistemas siguiendo esta política.
Autorización
Si actúa de buena fe para detectar y notificar vulnerabilidades en los sistemas de la Comisión Europea, respetando al mismo tiempo esta política, trabajaremos con usted para comprender y resolver rápidamente los problemas.
La Comisión Europea no emprenderá acciones legales en relación con sus actividades de detección de vulnerabilidades en nuestros sistemas siempre y cuando siga las directrices de esta política.
Ámbito de aplicación
Esta política se aplica a todos los sistemas de internet de la Comisión Europea, incluidos:
- la presencia digital de la Comisión Europea
- *.ec.europa.eu/*
- *.commission.europa.eu/*
- direcciones IP públicas incluidas en el ASN 42848 y servicios conexos
- cualquier otro programa informático publicado por la Comisión Europea
Los servicios no mencionados expresamente están excluidos del ámbito de aplicación y no pueden ser objeto de pruebas.
Además, las vulnerabilidades detectadas en los sistemas de los vendedores también están excluidas del ámbito de aplicación y deben notificarse directamente al vendedor con arreglo a su propia política de divulgación (si procede).
Directrices
Al llevar a cabo sus actividades, es imperativo que:
- no aproveche la vulnerabilidad o el problema que ha descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad, suprimiendo o modificando los datos de otras personas
- utilice únicamente programas intrusos inofensivos para confirmar la existencia de una vulnerabilidad
- no revele ningún dato descargado durante el descubrimiento al público ni a ninguna otra parte
- no revele la vulnerabilidad o el problema al público o a otras partes hasta que se haya resuelto
- ponga fin a las pruebas si descubre información delicada —como información de identificación personal (PII), datos médicos, financieros o de dominio privado, o secretos comerciales—, nos notifique inmediatamente y no revele ningún dato obtenido a nadie más
No lleve a cabo las siguientes acciones
- introducir programas maliciosos (virus, gusanos, troyanos, etc.) en un sistema
- poner un sistema en situación de riesgo mediante programas intrusos para obtener un control total o parcial
- copiar, modificar o suprimir datos del sistema
- introducir cambios en el sistema
- acceder repetidamente al sistema o compartir el acceso con el público u otras partes
- utilizar cualquier acceso obtenido para intentar acceder a otros sistemas
- cambiar los derechos de acceso de otros usuarios
- emplear herramientas de escaneo automatizadas
- utilizar un «ataque de fuerza bruta» para acceder a cualquier sistema
- utilizar la denegación de servicio o la ingeniería social (phishing, vishing, spam, etc.)
- utilizar ataques contra la seguridad física
Notificar una vulnerabilidad
Cómo nos gustaría que procediera
Si ha detectado una vulnerabilidad, le pedimos que:
- envíe sus hallazgos lo antes posible a EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), especificando si está de acuerdo o no en que se haga público su nombre o seudónimo como descubridor del problema
- encripte sus hallazgos utilizando nuestra clave PGP para evitar que esta información crítica acabe en las manos equivocadas
- facilítenos información suficiente para reproducir el problema, de modo que podamos resolverlo lo antes posible; normalmente, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, pero las vulnerabilidades complejas pueden requerir explicaciones adicionales en términos de información técnica o código de la prueba de concepto
- facilite la información en inglés, preferiblemente, o en cualquier otra lengua oficial de la Unión Europea
Lo que puede esperar de nosotros
A cambio, prometemos lo siguiente cuando nos informe de una vulnerabilidad:
- responder a su informe en un plazo de tres (3) días hábiles con nuestra evaluación del informe
- tramitar su informe con estricta confidencialidad
- en la medida de lo posible, informarle cuando se haya subsanado la vulnerabilidad
- tratar los datos personales que facilite (como su dirección de correo electrónico y su nombre) de conformidad con la legislación aplicable en materia de protección de datos y no transmitir sus datos personales a terceros sin su permiso
- publicar su nombre como descubridor del problema, si dio su consentimiento en su correo electrónico inicial, cuando, si se da el caso, revelemos públicamente el problema