مهم

سياسة الإفصاح عن الثغرات الأمنية

تعرّف على الأنظمة وأنواع الأبحاث التي يتم تناولها

 

تهدف هذه السياسة إلى تزويد باحثي الأمن الشرعيّين بإرشاداتٍ واضحة لإجراء أنشطة اكتشاف الثغرات الأمنية ونقل تفضيلات شركة Pacific Gas & Electric Company (المُشار إليها بالاختصار "PG&E") في كيفية إرسال الثغرات الأمنية المُكتشَفة إلينا.

 

تُوضِّح هذه السياسة أنظمة وأنواع الأبحاث التي تُغطِّيها هذه السياسة، وكيفية إرسال تقارير الثغرات الأمنية إلينا، والمدة التي نطلب من الباحثين الأمنيّين انتظارها قبل الكشف علنًا عن الثغرات الأمنية.

 

نحن نُشجّعك على الاتصال بنا للإبلاغ عن الثغرات الأمنية المحتملة في أنظمتنا وفقًا للبروتوكولات التالية.

 

الترخيص

إذا قرّرنا أنك بذلتَ جُهدًا بحُسن نية للامتثال لهذه السياسة أثناء بحثك الأمني، فسنعتبر بحثك الأمني مُرخّصًا، وسنعمل معك لفهم المشكلة وحلّها بسرعة، ولن تُوصي شركة PG&E بإجراءاتٍ قانونية مُتعلّقة ببحثك الأمني الذي يتم إجراؤه بطريقة تتوافق مع هذه السياسة. ويُتوقَّع منك، كما هو الحال دائمًا، الامتثال لجميع القوانين المعمول بها.



المبادئ التوجيهية

بموجب هذه السياسة، يُقصد بمصطلح "البحث" الأنشطة التي تقوم فيها حيث يُطلب منك ما يلي:

 

  • إبلاغنا في أقرب وقت ممكن بعد اكتشاف مشكلة أمنية حقيقية أو محتملة.
  • بذل كل جُهد لتجنُّب انتهاكات الخصوصية أو الإفصاح، أو تدهور تجربة المستخدم، أو تعطيل أنظمة الإنتاج، أو تدمير البيانات أو التلاعب بها.
  • استخدام فقط الثغرات بالقدر الضروري لتأكيد وجود ثغرة أمنية. ولا يجب استخدام الثغرات لاختراق البيانات أو سرقتها، أو إنشاء وصول مستمر لسطر الأوامر، أو استخدام الثغرة للتركيز على أنظمة أخرى.
  • إتاحة لنا فترة زمنية معقولة لحل المشكلة قبل الكشف عنها علنًا.
  • عدم إرسال عددًا كبيرًا من التقارير منخفضة الجودة.

 

بمجرد إثبات وجود ثغرة أمنية أو العثور على أي بيانات غير عامة أو حساسة (بما في ذلك معلومات التعريف الشخصية، أو المعلومات المالية، أو معلومات الملكية، أو الأسرار التجارية لأي طرف)، يجب عليك إيقاف البحث، وإخطارنا على الفور، والموافقة على عدم الكشف عن هذه الثغرة الأمنية أو البيانات لأي شخصٍ آخر.

الإبلاغ عن الثغرات الأمنية

طرق الاختبار

طرق الاختبار والبحث التالية غير مُصرّح بها:

 

  • اختبارات حجب الشبكة للخدمة (هجمات حجب الخدمة "DoS" أو هجمات حجب الخدمة المُوزّعة "DDoS") أو الاختبارات الأخرى التي تُعيق الوصول إلى نظام أو بيانات أو تُلحِق الضرر بهما
  • الاختبار المادي (على سبيل المثال، الوصول إلى المكتب، والأبواب المفتوحة، والأبواب الخلفية)، والهندسة الاجتماعية (على سبيل المثال، التصيد الاحتيالي، والتصيد الصوتي)، أو أي اختبار غير تقني للثغرات الأمنية
  • تشويه المواقع الإلكترونية أو تغييرها
  • الابتزاز من أي نوع عن طريق طلب المال أو التهديد بالكشف عن المعلومات
  • إنشاء عدد غير معقول من الحسابات لإجراء اختبارات على التطبيقات والخدمات

 

النطاق

قبل إضافة نظام أو خدمة إلى نطاق بحثك، تأكّد من أنه مسموح لك أو مُصرّح لك بإجراء اختبار الأمان باستخدام هذا النظام أو الخدمة. فعلى سبيل المثال، إذا كنت تستخدم مُوفّر خدمة مُدار أو برنامجًا كخدمة، فاحرص على التأكد من أن المُورّد قد أذِنَ صراحةً بهذا الاختبار، مثل التأكد من وجود هذه السلطة في عقد وكالتك مع المُوفّر أو تم توضيح ذلك بالتفصيل في سياسته المتاحة للجمهور. إذا لم يكن الأمر كذلك، فيجب عليك العمل مع المُورّد للحصول على تصريح واضح وصريح. وإذا لم يكن من الممكن الحصول على إذن المُورّد، فلا يجوز لك تضمين تلك الأنظمة أو الخدمات في نطاق بحثك.

 

تنطبق هذه السياسة على الأنظمة والخدمات التالية:

 

  • pge.com
  • guide.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

 

إن أي خدمة غير مُدرجة صراحةً أعلاه، مثل أي خدمات متصلة، مُستثناة من نطاق هذه السياسة وغير مصرّح بها للاختبار أو البحث. بالإضافة إلى ذلك، فإن أي ثغرات تجدها في الأنظمة من مُورّدينا تقع خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرةً إلى المُورّد وفقًا لسياسة الإفصاح لديه (إن وُجدت). وإذا لم تكُن متأكدًا ممّا إذا كان النظام في النطاق أم لا، فتواصَل معنا على العنوان pgecirt@pge.com قبل بدء البحث (أو الاتصال بجهة اتصال الأمان الخاصة باسم نطاق النظام المُدرَج في .gov WHOIS).

 

على الرغم من أننا نقوم بتطوير وصيانة أنظمة أو خدمات أخرى يمكن الوصول إليها عبر الإنترنت، إلا أننا نرغب ونتوقع أن يتم إجراء البحث والاختبار النشِطيْن فقط على الأنظمة والخدمات التي يُغطّيها نطاق هذه السياسة. وإذا كان هناك نظام مُعيّن ليس مُدرجًا في النطاق تعتقد أنه يستحق الاختبار، فيُرجى الاتصال بنا لمناقشته أولاً. وسنعمل على توسيع نطاق هذه السياسة بمرور الوقت.

 

الإبلاغ عن ثغرة أمنية

سوف تُستخدم معلومات الثغرة الأمنية المُقدَّمة بموجب هذه السياسة للأغراض الدفاعية فقط، وللتخفيف من الثغرات الأمنية أو مُعالجتها. إذا تضمّنتْ النتائج التي توصّلتَ إليها ثغرات أمنية تم اكتشافها حديثًا والتي تُؤثِّر على جميع مستخدمي منتج أو خدمة وليس فقط شركة PG&E، فقد نُشارِك تقريرك مع Cybersecurity and Infrastructure Security Agency، حيث سيتم التعامل معه بموجب ذلك. لن نُشارِك اسمك أو معلومات الاتصال خاصتك دون إذن صريح منك. يمكن الإبلاغ عن الثغرات الأمنية بشكلٍ مجهول الهوية. إذا شاركتَ معلومات الاتصال، فسوف نبذل قُصارى جُهدنا للإقرار باستلام تقريرك في غضون ثلاثة (3) أيام عمل.

 

من خلال إرسال تقرير الثغرة الأمنية، فإنك تُقرّ بأنه ليس لديك توقُّع للحصول على مقابل مادي وأنك تتنازل صراحةً عن أي مطالبات دفع مستقبلية ضد حكومة الولايات المتحدة فيما يتعلق باكتشافك الثغرة الأمنية.

 

ما نوّد أن نعرفه منك

من أجل مُساعدتنا في فرز التقارير المُرسَلة وتحديد أولوياتها، نُوصيك أولاً بالتواصل معنا عبر البريد الإلكتروني على pgecirt@pge.com، ويجب أن تتضمّن الرسالة ما يلي:

  • وصفًا عالي المستوى للثغرة الأمنية، ونطاقها، وشدّتها.
  • موقع نطاق الثغرة الأمنية وتأثير استغلالها المحتمل.

 

بمجرد مراجعة المعلومات الأولية، سنُرسل إليك بريدًا إلكترونيًا مشفرًا حتى تتمكن من الرد بتفاصيل مُحدّدة عن الثغرة الأمنية، بما في ذلك وصف شامل للخطوات اللازمة لإعادة إنتاج الثغرة الأمنية (تقديم إثبات بنصوص المفاهيم أو لقطات الشاشة سيكون مفيدًا).



ما الذي يمكن أن تتوقّعه منّا

عندما تُرسِل تقريرًا عن الثغرات الأمنية إلى هذا البرنامج وفقًا لهذه السياسة، فإننا نلتزم بالتنسيق معك بأكبر قدرٍ مُمكِن من الانفتاح والسرعة.

  • في غضون ثلاثة (3) أيام عمل، سنبذل قُصارى جُهدنا للإقرار باستلام تقريرك.
  • سوف نُؤكّد، بأقصى ما في وِسعنا، وجود الثغرة الأمنية لديك وسنكون شفّافين قدر الإمكان بشأن الخطوات التي نتخذها أثناء عملية الإصلاح، بما في ذلك المشكلات أو التحديات التي قد تُؤخّر الحل.
  • سوف نُحافظ على حوارٍ مفتوح لمناقشة المشكلات.

 

تقع السلطة التقديرية بشأن مدفوعات الإفصاح حصريًا على شركة PG&E، ولكن لن تُصدِر شركة PG&E بأي حال من الأحوال مدفوعات الإفصاح للأفراد المُدرَجين في قوائم العقوبات، أو الموجودين في بلدان (مثل كوبا، وإيران، وكوريا الشمالية، والسودان، وسوريا) في قوائم العقوبات.

 

المعلومات القانونية لبرنامج الإفصاح عن الثغرات الأمنية

يُرجى العلم أنه قد تكون هناك قيود إضافية على قُدرتك على إرسال الثغرات الأمنية التي تم اكتشافها اعتمادًا على القوانين المحلية المعمول بها في المكان الذي تعيش فيه أو تعمل فيه.

 

قد تتغيّر هذه السياسة ويمكن إلغاء هذا البرنامج في أي وقت، وقرار دفع مدفوعات الإفصاح يقع فقط على عاتق شركة PG&E.

 

موارد أمنية إضافية

Cybersecurity and Infrastructure Security Agency (CISA)

اتصل بوكالة CISA إذا كانت النتائج التي توصّلتَ إليها تتضمّن الثغرات الأمنية المُكتشفة حديثًا والتي تُؤثِّر على جميع مستخدمي المنتجات أو الخدمات وليس فقط شركة PG&E.