Skoordynowane Ujawnianie Podatności pod CRA: Szablon Polityki i Konfiguracja

CRA wymaga, aby producenci wdrożyli skoordynowane ujawnianie podatności. To nie jest opcjonalne, to obowiązek prawny. Jednak wiele organizacji nie ma polityki CVD lub ma taką, która nie spełnia oczekiwań regulacyjnych.

Ten przewodnik zapewnia wszystko, czego potrzebujesz: szablony polityk, ramowe zasady komunikacji z badaczami i wskazówki dotyczące harmonogramu.

Czego Wymaga CRA

Załącznik I, Część II CRA wymaga od producentów:

"wdrożenia i egzekwowania polityki skoordynowanego ujawniania podatności"

To oznacza:

• Posiadanie polityki: Napisanej, opublikowanej, dostępnej
• Wdrożenie jej: Faktyczne stosowanie polityki gdy przychodzą zgłoszenia
• Egzekwowanie jej: Spójne stosowanie we wszystkich produktach

CRA nie określa dokładnej treści polityki, ale standardy branżowe i oczekiwania regulacyjne są jasne.

Niezbędne Elementy Polityki

Twoja polityka CVD musi obejmować te elementy:

1. Zakres

Które produkty i usługi są objęte?

PRZYKŁAD ZAKRESU:
Ta polityka dotyczy:
- Wszystkich produktów [Nazwa Firmy] z elementami cyfrowymi
- Powiązanego firmware'u i oprogramowania
- Aplikacji webowych na *.firma.com
- Aplikacji mobilnych publikowanych przez [Nazwa Firmy]

Ta polityka NIE dotyczy:
- Produktów stron trzecich sprzedawanych, ale nie produkowanych przez nas
- Usług świadczonych przez partnerów pod ich własnymi politykami

2. Metody Kontaktu

Jak badacze mogą się z tobą skontaktować?

Wymagane kanały:

• Adres email (security@firma.com)
• Formularz webowy (preferowany, strukturalizowany odbiór)
• Plik security.txt wskazujący metody kontaktu

Opcjonalne ulepszenia:

• Klucz PGP dla szyfrowanych zgłoszeń
• Integracja z platformą bug bounty
• Dedykowany portal dla badaczy

3. Zobowiązania Dotyczące Odpowiedzi

Czego mogą oczekiwać badacze?

4. Harmonogram Ujawnienia

Kiedy badacze mogą publikować?

Standard branżowy: 90 dni od zgłoszenia do publicznego ujawnienia

Twoja polityka powinna określać:

• Standardowe okno ujawnienia (np. 90 dni)
• Warunki przedłużenia (złożone poprawki, skoordynowane multi-vendor)
• Warunki wcześniejszego ujawnienia (aktywna eksploatacja, vendor nie odpowiada)
• Prawo badacza do ujawnienia jeśli nie odpowiadasz

5. Bezpieczna Przystań Prawna

Ochrona badaczy działających w dobrej wierze przed działaniami prawnymi.

PRZYKŁAD BEZPIECZNEJ PRZYSTANI:
[Nazwa Firmy] nie będzie podejmować działań prawnych przeciwko badaczom, którzy:
- Podejmują wysiłki w dobrej wierze, aby dostosować się do tej polityki
- Unikają naruszeń prywatności, niszczenia danych i zakłócania usług
- Nie wykorzystują podatności poza niezbędną demonstracją
- Zgłaszają odkrycia niezwłocznie i pozwalają na rozsądny czas naprawy
- Nie ujawniają publicznie przed skoordynowanym harmonogramem

Ta bezpieczna przystań obejmuje działania, które mogłyby w innym przypadku naruszać:
- Przepisy o oszustwach komputerowych i nadużyciach
- Przepisy o ochronie danych
- Postanowienia warunków usługi

6. Uznanie i Nagrody

Jak uznajesz badaczy.

Opcje:

• Publiczne uznanie (Hall of Fame)
• Prywatne podziękowanie
• Płatności bug bounty
• Gadżety/merchandise
• Listy referencyjne

7. Elementy Poza Zakresem

Czego nie chcesz, żeby zgłaszano (lub obsługujesz inaczej).

POZA ZAKRESEM:
- Ataki socjotechniczne przeciwko pracownikom
- Problemy bezpieczeństwa fizycznego
- Testy denial of service
- Zgłoszenia spamu lub phishingu
- Problemy w usługach stron trzecich, których nie kontrolujemy
- Wcześniej zgłoszone podatności

Kompletny Szablon Polityki CVD

Użyj tego szablonu jako punktu wyjścia. Dostosuj do swojej organizacji.

# Polityka Ujawniania Podatności [Nazwa Firmy]

## Wprowadzenie

[Nazwa Firmy] jest zaangażowana w bezpieczeństwo naszych produktów i ochronę
naszych klientów. Cenimy społeczność badaczy bezpieczeństwa i z zadowoleniem
przyjmujemy odpowiedzialne ujawnianie podatności.

## Zakres

Ta polityka dotyczy:
- Wszystkich produktów wytwarzanych przez [Nazwa Firmy]
- Oprogramowania i firmware'u w naszych produktach
- Właściwości webowych na *.firma.com
- Aplikacji mobilnych publikowanych przez [Nazwa Firmy]

## Jak Zgłaszać

**Preferowana Metoda:** Prześlij przez nasz bezpieczny formularz:
https://firma.com/security/report

**Alternatywa:** Email security@firma.com
- Klucz PGP: [ID klucza lub link do klucza]

**Odniesienie:** Nasz plik security.txt jest pod:
https://firma.com/.well-known/security.txt

## Co Zawrzeć

Proszę podać:
- Dotknięte produkty i wersje
- Opis podatności
- Kroki do odtworzenia
- Ocena potencjalnego wpływu
- Twoja sugerowana naprawa (opcjonalnie)
- Twoje dane kontaktowe do dalszej komunikacji

## Nasze Zobowiązania

| Harmonogram | Działanie |
|-------------|----------|
| 3 dni robocze | Potwierdzenie otrzymania zgłoszenia |
| 10 dni roboczych | Wstępna ocena i klasyfikacja ważności |
| Co 14 dni | Aktualizacja statusu do rozwiązania |
| 90 dni | Cel rozwiązania dla większości podatności |

Możemy prosić o przedłużenie dla złożonych podatności wymagających
skoordynowanych poprawek w wielu produktach lub vendorach.

## Skoordynowane Ujawnienie

Stosujemy 90-dniowy harmonogram ujawnienia:
- Dzień 0: Zgłaszasz podatność
- Dni 1-90: Pracujemy nad naprawą
- Dzień 90: Skoordynowane publiczne ujawnienie

**Przedłużenia:** Możemy prosić o do 30 dodatkowych dni dla:
- Złożonych poprawek wieloskładnikowych
- Podatności sprzętowych wymagających koordynacji łańcucha dostaw
- Koordynacji multi-vendor

**Wcześniejsze Ujawnienie:** Możesz ujawnić wcześniej jeśli:
- Nie odpowiadamy w ciągu 14 dni
- Wskazujemy brak zamiaru naprawy
- Podatność jest aktywnie wykorzystywana

## Bezpieczna Przystań

Nie będziemy podejmować działań prawnych przeciwko badaczom, którzy:
- Działają w dobrej wierze i stosują się do tej polityki
- Unikają dostępu, modyfikacji lub usuwania danych użytkowników
- Nie zakłócają naszych usług ani nie szkodzą naszym klientom
- Zgłaszają podatności niezwłocznie
- Pozwalają na rozsądny czas naprawy przed ujawnieniem

Ta bezpieczna przystań dotyczy potencjalnych naruszeń:
- Przepisów o nadużyciach komputerowych
- Naszych warunków usługi
- Wymogów ochrony danych (dla incydentalnego dostępu podczas badań)

## Uznanie

Prowadzimy Hall of Fame Bezpieczeństwa na firma.com/security/thanks
uznający badaczy, którzy pomogli poprawić nasze bezpieczeństwo.

Obecnie nie prowadzimy płatnego programu bug bounty.
[LUB: Oferujemy bounty przez [platformę]. Zobacz [link] po szczegóły.]

## Poza Zakresem

Następujące są poza zakresem tej polityki:
- Socjotechnika pracowników lub klientów
- Fizyczne ataki na nasze obiekty
- Ataki denial of service
- Wyniki ze skanerów automatycznych bez wykazanego wpływu
- Problemy w usługach stron trzecich
- Wcześniej zgłoszone podatności

## Kontakt

Zespół Bezpieczeństwa: security@firma.com
Pytania o Politykę: security-policy@firma.com
Klucz PGP: [link]

Ostatnia Aktualizacja: [Data]

Lista Kontrolna Wdrożenia

Konfiguracja Infrastruktury

LISTA KONTROLNA INFRASTRUKTURY CVD

KANAŁY KONTAKTU:
[ ] security@firma.com skonfigurowany i monitorowany
[ ] Formularz webowy utworzony z wymaganymi polami
[ ] Klucz PGP wygenerowany i opublikowany
[ ] Plik security.txt wdrożony (zobacz osobny przewodnik)
[ ] Strona /security lub /security/report utworzona

PROCES WEWNĘTRZNY:
[ ] Zespół triage zidentyfikowany
[ ] Ścieżka eskalacji zdefiniowana
[ ] System śledzenia SLA wdrożony
[ ] Szablonowe odpowiedzi przygotowane
[ ] Proces koordynacji ujawnienia udokumentowany

DOKUMENTACJA:
[ ] Polityka CVD napisana i zatwierdzona
[ ] Polityka opublikowana na stronie
[ ] Wewnętrzne procedury obsługi udokumentowane
[ ] Szablony komunikacji z badaczami gotowe
[ ] Strona Hall of Fame utworzona (opcjonalnie)

TESTOWANIE:
[ ] Testowe zgłoszenie przesłane wewnętrznie
[ ] Śledzenie czasów odpowiedzi zweryfikowane
[ ] Proces eskalacji przetestowany
[ ] Koordynacja ujawnienia przetestowana

Szablony Komunikacji z Badaczami

Potwierdzenie (Dzień 0-3):

Temat: [Ticket #] - Otrzymano Zgłoszenie Podatności

Szanowny [Badaczu],

Dziękujemy za zgłoszenie potencjalnej podatności bezpieczeństwa w
[Nazwa Produktu]. Otrzymaliśmy Twoje zgłoszenie i przypisaliśmy mu
numer śledzenia [Ticket #].

Nasz zespół bezpieczeństwa przeanalizuje Twoje zgłoszenie i dostarczy
wstępną ocenę w ciągu 10 dni roboczych.

Proszę używać [Ticket #] w przyszłej korespondencji.

Pytania? Odpowiedz na ten email lub skontaktuj się security@firma.com.

Z poważaniem,
Zespół Bezpieczeństwa [Nazwa Firmy]

Wstępna Ocena (Dzień 10):

Temat: [Ticket #] - Wstępna Ocena Zakończona

Szanowny [Badaczu],

Zakończyliśmy wstępną ocenę zgłoszonej podatności w [Nazwa Produktu].

Podsumowanie Oceny:
- Ważność: [Krytyczna/Wysoka/Średnia/Niska]
- Status: [Potwierdzona/W Badaniu/Nie Do Odtworzenia]
- Dotknięte Wersje: [Lista]
- Cel Rozwiązania: [Data, typowo w ciągu 90 dni]

Następne Kroki:
[Opis planowanego podejścia do naprawy]

Będziemy dostarczać aktualizacje statusu co 14 dni. Obecna docelowa
data ujawnienia: [Data].

Dziękujemy za pomoc w poprawie naszego bezpieczeństwa.

Z poważaniem,
Zespół Bezpieczeństwa [Nazwa Firmy]

Powiadomienie o Rozwiązaniu:

Temat: [Ticket #] - Podatność Rozwiązana

Szanowny [Badaczu],

Rozwiązaliśmy podatność, którą zgłosiłeś w [Nazwa Produktu].

Szczegóły Rozwiązania:
- Wersja z Poprawką: [Numer wersji]
- Data Wydania: [Data]
- CVE ID: [Jeśli przypisane]

Skoordynowane Ujawnienie:
Planujemy opublikować komunikat bezpieczeństwa w dniu [Data].

Czy chciałbyś być wymieniony w naszym komunikacie?
[ ] Tak, wymień mnie jako: [Imię/Nick]
[ ] Tak, wymień mnie anonimowo
[ ] Nie trzeba wymieniać

Dziękujemy za odpowiedzialne ujawnienie. Twój wkład został dodany do
naszego Hall of Fame Bezpieczeństwa pod [URL].

Z poważaniem,
Zespół Bezpieczeństwa [Nazwa Firmy]

Obsługa Typowych Scenariuszy

Scenariusz 1: Badacz Żąda Natychmiastowego Ujawnienia

Sytuacja: Badacz upiera się przy 30-dniowym harmonogramie zamiast 90 dni.

Odpowiedź:

1. Wyjaśnij swój standardowy harmonogram i powód (dokładna naprawa, testy)
2. Zaproponuj kompromis jeśli to możliwe (60 dni z aktualizacjami statusu)
3. Jeśli badacz nalega, eskaluj wewnętrznie
4. Udokumentuj niezgodność i swoje wysiłki w dobrej wierze
5. Priorytetyzuj naprawę, możesz musieć przyspieszyć

Scenariusz 2: Zduplikowane Zgłoszenie

Sytuacja: Podatność już znana lub wcześniej zgłoszona.

Odpowiedź:

Temat: [Ticket #] - Zduplikowane Zgłoszenie

Szanowny [Badaczu],

Dziękujemy za zgłoszenie dotyczące [typ podatności] w [Nazwa Produktu].

Ten problem był wcześniej zgłoszony i jest obecnie obsługiwany.
Oryginalny ticket: [Odniesienie].

Oczekiwane rozwiązanie: [Data]

Choć nie możemy zaoferować uznania za zduplikowane zgłoszenia,
doceniamy Twoją uwagę poświęconą naszemu bezpieczeństwu.

Z poważaniem,
Zespół Bezpieczeństwa [Nazwa Firmy]

Scenariusz 3: Zgłoszenie Poza Zakresem

Sytuacja: Zgłoszenie obejmuje coś poza zakresem Twojego CVD.

Odpowiedź:

Temat: [Ticket #] - Poza Zakresem

Szanowny [Badaczu],

Dziękujemy za zgłoszenie. Po przeglądzie ustaliliśmy, że ten problem
jest poza zakresem naszej polityki ujawniania podatności.

Powód: [np. "Usługa strony trzeciej nie kontrolowana przez nas"]

Jeśli uważasz, że ta ocena jest błędna, proszę odpowiedz z
dodatkowym kontekstem.

W sprawie problemów z [stroną trzecią], proszę skontaktować się z nimi pod [kontakt].

Z poważaniem,
Zespół Bezpieczeństwa [Nazwa Firmy]

Scenariusz 4: Wykryto Aktywną Eksploatację

Sytuacja: Podczas dochodzenia odkrywasz, że podatność jest wykorzystywana.

Odpowiedź:

1. Uruchom zgłoszenie do ENISA (wymóg 24-godzinny)
2. Poinformuj badacza o zmianie sytuacji
3. Przyspiesz naprawę
4. Rozważ wcześniejsze skoordynowane ujawnienie
5. Przygotuj powiadomienie dla klientów

Temat: [Ticket #] - Pilna Aktualizacja

Szanowny [Badaczu],

Odkryliśmy aktywną eksploatację podatności, którą zgłosiłeś.
Podejmujemy następujące działania:

1. Przyspieszamy nasz harmonogram naprawy
2. Powiadamiamy odpowiednie organy zgodnie z wymogami
3. Przygotowujemy komunikację do klientów

Musimy pilnie skoordynować ujawnienie. Proszę skontaktować się z nami pod
[telefon/bezpieczny kanał] aby omówić harmonogram.

NIE ujawniaj publicznie w tym momencie, może to zwiększyć
szkody dla użytkowników zanim łatki będą dostępne.

Pilny kontakt: [Telefon/Signal]

Zespół Bezpieczeństwa [Nazwa Firmy]

Integracja CVD ze Zgłaszaniem do ENISA

Twój proces CVD musi łączyć się z obowiązkiem zgłaszania do ENISA:

PRZYBYWA ZGŁOSZENIE BADACZA
         │
         ▼
    TRIAGE I OCENA
         │
         ├── Brak aktywnej eksploatacji ──→ Standardowy proces CVD
         │                                  (harmonogram 90 dni)
         │
         └── Wykryto aktywną ──→ URUCHOM ZGŁOSZENIE DO ENISA
              eksploatację              │
                                       ▼
                                 Wczesne Ostrzeżenie 24h
                                       │
                                       ▼
                                 Szczegółowy Raport 72h
                                       │
                                       ▼
                                 Przyspieszony CVD
                                 (koordynuj z ENISA)

Częste Błędy

Brak Opublikowanej Polityki

Problem: Polityka istnieje wewnętrznie ale nie jest publiczna.

Rozwiązanie: Opublikuj pod odkrywalnym URL. Badacze nie mogą stosować się do polityki, której nie mogą znaleźć.

Nierealistyczne Harmonogramy

Problem: Obiecywanie 7-dniowej odpowiedzi gdy nie możesz dostarczyć.

Rozwiązanie: Ustaw osiągalne zobowiązania. Obiecuj mniej, dostarczaj więcej.

Brakująca Bezpieczna Przystań

Problem: Brak ochrony prawnej dla badaczy.

Rozwiązanie: Dodaj wyraźne sformułowanie bezpiecznej przystani. Bez tego badacze mogą ci nie zgłaszać.

Traktowanie Badaczy Jak Zagrożeń

Problem: Groźby prawne, agresywne odpowiedzi, ignorowanie zgłoszeń.

Rozwiązanie: Badacze ci pomagają. Traktuj ich jak partnerów.

Brak Procesu Wewnętrznego

Problem: Polityka opublikowana ale nikt nie wie jak obsługiwać zgłoszenia.

Rozwiązanie: Udokumentuj wewnętrzne procedury. Przeszkol zespół. Testuj symulacjami.

Lista Kontrolna Polityki CVD

LISTA KONTROLNA KOMPLETNOŚCI POLITYKI CVD

ZAKRES:
[ ] Objęte produkty wymienione
[ ] Elementy poza zakresem zdefiniowane
[ ] Zakres geograficzny jasny (jeśli dotyczy)

KONTAKT:
[ ] Adres email podany
[ ] Formularz webowy dostępny
[ ] Klucz PGP opublikowany
[ ] security.txt wdrożony
[ ] Kanały odpowiedzi monitorowane

HARMONOGRAM:
[ ] Harmonogram potwierdzenia określony
[ ] Harmonogram oceny określony
[ ] Cel rozwiązania określony
[ ] Harmonogram ujawnienia określony
[ ] Warunki przedłużenia zdefiniowane

PRAWNE:
[ ] Oświadczenie o bezpiecznej przystani zawarte
[ ] Objęte działania zdefiniowane
[ ] Wymogi dobrej wiary określone

UZNANIE:
[ ] Proces uznania wyjaśniony
[ ] Hall of Fame (jeśli dotyczy)
[ ] Program bounty (jeśli dotyczy)

PROCES:
[ ] Wewnętrzny triage udokumentowany
[ ] Ścieżka eskalacji zdefiniowana
[ ] Szablonowe odpowiedzi gotowe
[ ] Integracja z ENISA zaplanowana

Powiązane Przewodniki

• Konfiguracja security.txt dla Zgodności z CRA
• Zgłaszanie Podatności do ENISA: Wymóg 24-godzinny
• Przewodnik po Karach i Egzekwowaniu CRA

Jak CRA Evidence Pomaga

CRA Evidence zawiera wsparcie workflow CVD:

• Śledzenie odbioru zgłoszeń: Rejestruj i śledź zgłoszenia badaczy
• Zarządzanie harmonogramem: Automatyczne śledzenie SLA
• Integracja z ENISA: Uruchamiaj zgłoszenie gdy wykryto eksploatację
• Dokumentacja: Ścieżka audytu dla zgodności regulacyjnej

Ustanów swój proces CVD z app.craevidence.com.

Ten artykuł jest dostarczany wyłącznie w celach informacyjnych i nie stanowi porady prawnej. W celu uzyskania konkretnych porad dotyczących zgodności skonsultuj się z wykwalifikowanym doradcą prawnym.