취약성 공개 정책

본 정책은 합법적인 보안 연구원에게 취약성 발견 활동을 수행하기 위한 명확한 지침을 제공하고 발견된 취약성을 당사에 제출하는 방법에 대한 Pacific Gas & Electric Company("PG&E")의 선호 사항을 전달하기 위한 것입니다.

본 정책은 본 정책이 적용되는 시스템 및 조사 유형, 취약점 보고서를 당사에 제출하는 방법 및 취약성을 공식적으로 공개하기 전에 보안 연구원이 기다려야 하는 시간에 대해 설명합니다.

당사 시스템의 잠재적인 취약성을 보고하려면 다음 프로토콜에 따라 당사에 연락하시기 바랍니다.

권한 부여

귀하가 보안 조사 중에 본 정책을 준수하기 위해 선의의 노력을 기울였다고 판단될 경우, 당사는 귀하의 보안 조사를 위임된 것으로 간주하고 문제를 신속하게 파악 및 해결하기 위해 귀하와 협력할 것이며, PG&E는 본 정책과 부합되는 방식으로 수행한 보안 조사와 관련된 법적 조치를 권고하지 않을 것입니다. 귀하는 항상 그렇듯이 모든 적용 가능한 법률을 준수해야 합니다.

지침

본 정책에서 "조사"는 다음과 같은 활동을 의미합니다.

• 실제적 또는 잠재적인 보안 문제를 발견한 후 가능한 한 빨리 당사에 알립니다.
• 개인정보 침해 또는 공개, 사용자 경험 저하, 생산 시스템 중단, 데이터 파괴 또는 조작을 방지하기 위해 모든 노력을 기울입니다.
• 취약점의 존재를 확인하는 데 필요한 범위까지만 익스플로잇을 사용합니다. 익스플로잇을 사용하여 데이터를 손상 또는 유출하거나 영구 명령줄 액세스를 설정하거나 익스플로잇을 사용하여 다른 시스템으로 피벗하지 않습니다.
• 취약점을 공식적으로 공개하기 전에 당사가 해당 문제를 해결할 수 있도록 합리적인 시간을 제공합니다.
• 품질이 낮은 보고서를 대량으로 제출하지 않습니다.

취약점이 존재함을 확인했거나 비공개 데이터 또는 민감한 데이터(개인 식별 정보, 금융 정보 또는 어떤 당사자의 독점 정보 또는 영업 비밀 포함)를 발견한 경우, 조사를 중단하고 즉시 당사에 알린 후 이 취약점이나 데이터를 다른 사람에게 공개하지 않는 것에 동의해야 합니다.

테스트 방법

다음과 같은 테스트 방법 및 조사는 승인되지 않았습니다.

• 네트워크 서비스 거부(DoS 또는 DDoS) 테스트 또는 시스템이나 데이터에 대한 액세스를 손상시키거나 기능을 저하시키는 기타 테스트
• 물리적 테스트(예: 사무실 출입, 도어 개방, 테일게이팅), 사회 공학 기법(예: 피싱, 비싱) 또는 기타 비기술적 취약성 테스트
• 웹사이트의 훼손 또는 변경
• 금품을 요구하거나 정보를 공개하겠다고 협박하여 행해지는 모든 종류의 갈취
• 애플리케이션 및 서비스에 대한 테스트를 수행하기 위해 무리하게 많은 수의 계정을 생성

범위

조사 범위에 시스템 또는 서비스를 추가하기 전에 해당 시스템 또는 서비스를 사용하여 보안 테스트를 수행할 수 있도록 허가를 받았거나 권한이 있는지 확인하십시오. 예를 들어, 관리형 서비스 제공업체 또는 서비스형 소프트웨어를 이용하는 경우 그러한 권한이 제공업체와의 기관 계약에 존재하는지 확인하거나 공개된 정책에 자세히 설명되어 있는지 확인하는 등 공급업체가 해당 테스트를 명시적으로 승인했는지 확인하십시오. 그렇지 않은 경우 공급업체와 협력하여 명시적 승인을 받아야 합니다. 공급업체의 승인을 얻을 수 없는 경우 해당 시스템이나 서비스를 조사 범위에 포함해서는 안 됩니다.

본 정책은 다음 시스템 및 서비스에 적용됩니다.

• pge.com
• guide.pge.com
• recreation.pge.com
• esft.pge.com
• lyncdiscover.pge.com
• safetyactioncenter.pge.com
• wbt.firstresponder.pge.com
• *.pge.com

연결된 서비스와 같이 위에 명시적으로 열거되지 않은 서비스는 본 정책의 범위에서 제외되며 테스트 또는 조사에 대한 권한이 없습니다. 또한 당사 공급업체의 시스템에서 발견한 모든 취약성은 본 정책의 범위를 벗어나므로 공급업체의 공개 정책(있는 경우)에 따라 공급업체에 직접 보고해야 합니다. 시스템이 범위 내에 있는지 여부가 확실하지 않은 경우, 조사를 시작하기 전에 pgecirt@pge.com으로 문의하십시오(또는 .gov WHOIS에 기재된 시스템 도메인 이름에 대한 보안 연락처).

비록 당사가 다른 인터넷 액세스 시스템 또는 서비스를 개발하고 유지 관리하고 있기는 하지만, 당사는 본 문서의 범위에 포함되는 시스템과 서비스에 대해서만 적극적인 조사와 테스트가 수행되기를 희망하고 기대합니다. 테스트할 가치가 있다고 생각되는 범위에 포함되지 않은 특정 시스템이 있는 경우 먼저 당사에 연락하여 논의하십시오. 시간을 두고 본 정책의 범위를 확대할 수 있습니다.

취약점 보고

본 정책에 따라 제출된 취약성 정보는 취약성을 완화하거나 수정하기 위한 방어 목적으로만 사용됩니다. 조사 결과에 PG&E만이 아니라 제품 또는 서비스의 모든 사용자에게 영향을 미치는 새로 발견된 취약성이 포함된 경우, 당사는 귀하의 보고서를 Cybersecurity and Infrastructure Security Agency와 공유할 수 있으며 여기에서 해당 기관들의 프로세스에 따라 처리됩니다. 귀하의 명시적인 동의 없이는 귀하의 이름이나 연락처 정보를 공유하지 않습니다.보고서는 익명으로 제출할 수 있습니다. 연락처 정보를 공유하는 경우 당사는 영업일 기준 3일 이내에 귀하의 보고서가 접수되었음을 확인하도록 최선을 다하겠습니다.

취약점 보고서를 제출함으로써 귀하는 지급을 기대하지 않으며 제출과 관련하여 미국 정부에 대한 향후 모든 지급 청구를 명시적으로 포기한다는 것을 인정하게 됩니다.

귀하에게 바라는 사항

제출물을 분류하고 우선순위를 정하는 데 도움이 되도록 pgecirt@pge.com으로 처음 연락하는 이메일에는 다음 사항을 포함해 주시기 바랍니다.

• 취약성 및 취약성의 범위와 심각도에 대한 높은 수준의 설명.
• 취약성의 도메인 위치 및 익스플로잇의 잠재적 영향.

당사에서 초기 정보를 검토한 후 취약성을 재현하는 데 필요한 단계에 대한 포괄적인 설명을 포함하여 취약성에 대한 구체적인 세부 정보와 함께 회신할 수 있도록 귀하에게 암호화된 이메일을 전송합니다(개념 증명 스크립트 또는 스크린샷이 유용함).

당사에 기대할 수 있는 사항

본 정책에 따라 귀하가 이 프로그램에 취약점 보고서를 제출하면 당사는 최대한 빨리 공개적으로 귀하와 협력할 것을 약속합니다.

• 영업일 기준 3일 이내에 귀하의 보고서가 접수되었음을 확인하도록 최선을 다하겠습니다.
• 당사는 최선을 다해 귀하에게 취약점의 존재를 확인하고 해결을 지연시킬 수 있는 문제 또는 난제를 포함하여 수정 프로세스 중에 어떤 단계를 수행하고 있는지에 대해 최대한 투명하게 공유할 것입니다.
• 당사는 문제를 논의하기 위해 열린 대화를 계속할 것입니다.

공시 지급금에 대한 재량권은 전적으로 PG&E에 있으나, 어떤 경우에도 PG&E는 제재 목록에 있거나, 제재 목록에 있는 국가(예: 쿠바, 이란, 북한, 수단 및 시리아)에 있는 개인에게 공시 지급금을 지급하지 않습니다.

취약성 공개 프로그램 법률 정보

귀하가 거주하거나 근무하는 지역의 해당 법률에 따라 공개된 취약성을 제출하는 법적 자격에 추가 제한이 있을 수 있습니다.

본 정책은 변경될 수 있으며 이 프로그램은 언제든지 취소될 수 있고, 공시 지급금의 지급 여부를 결정하는 권한은 전적으로 PG&E에 있습니다.