©2024 Pacific Gas and Electric Company
مهم
هدف از این سیاست، ارائه دستورالعملهای روشن به محققان امنیتی مجاز برای انجام فعالیتهای کشف آسیبپذیری و نیز اعلام اولویتهای Pacific Gas & Electric Company ("PGE") در نحوه ارائه آسیبپذیریهای کشف شده به ما است.
این سیاست توضیح میدهد که کدام سیستمها و انواع تحقیق تحت پوشش این سیاست هستند، چگونه باید گزارشهای آسیبپذیری را برای ما ارسال شوند، و از محققان امنیتی میخواهیم که قبل از افشای عمومی آسیبپذیریها تا چه مدت صبر کنند.
از شما میخواهیم که با ما تماس بگیرید و طبق پروتکلهای زیر آسیبپذیریهای بالقوه در سیستم ما را گزارش دهید.
مجوز
اگر تشخیص دهیم که شما در طول تحقیق امنیتی خود با حسن نیت تلاش کردهاید این سیاست را رعایت کنید، تحقیق امنیتی شما را مجاز خواهیم شمرد، با شما همکاری خواهیم کرد تا این مسئله را به سرعت درک و حل و فصل کنید، وPG&E اقدام قانونی را در مقابل تحقیقات امنیتی شما که مطابق با این سیاست انجام شده است، توصیه نخواهد کرد. طبق معمول، از شما انتظار میرود که تمام قوانین حاکم را رعایت کنید.
دستورالعملها
طبق این سیاست، "تحقیق" به فعالیتهایی گفته میشود که در آن شما:
- بعد از کشف یک مسئله امنیتی واقعی یا احتمالی هر چه سریعتر ما را مطلع میکنید.
- تمام تلاش خود را به کار میگیرید تا از نقض یا افشای حریم خصوصی، تخریب تجربه کاربر، اختلال در سیستمهای تولید، یا تخریب یا دستکاری داده خودداری کنید.
- فقط به مقداری که برای تایید وجود آسیبپذیری لازم است، بهرهگیری کنید. برای به خطر انداختن یا حذف داده، ایجاد دسترسی مداوم به خط فرمان، یا برای روی برگرداندن به سایر سیستمها بهرهگیری نکنید.
- قبل از افشای عمومی آن، به ما به اندازه کافی فرصت دهید تا این مسئله را حل کنیم.
- حجم زیادی از گزارشهای بیکیفیت را ارائه ندهید.
به محض اینکه از وجود یک آسیبپذیری مطلع میشوید یا با هر نوع داده غیر-عمومی یا حساس برخورد می کنید (اعم از اطلاعات شخصی، اطلاعات مالی، یا اطلاعات اختصاصی یا اسرار تجاری هر یک از طرفین)، باید تحقیق خود را متوقف کنید، بلافاصله به ما اطلاع دهید، و موافقت کنید که این آسیبپذیری یا داده را در اختیار فرد دیگری قرار نمیدهید.
روشهای آزمایش
روشهای آزمایش و تحقیق زیر مجاز نیستند:
- تستهای انکار سرویس (DoS یا DDoS) شبکه یا سایر تستهایی که دسترسی به سیستم یا دادهها را مختل میکند یا به آن آسیب میرساند.
- تست فیزیکی (به عنوان مثال، دسترسی به دفتر، درهای باز، دنبالهروی)، مهندسی اجتماعی (به عنوان مثال، فیشینگ، ویشینگ)، یا هر تست آسیبپذیری غیر-فنی دیگر
- تخریب یا تغییر وبسایتها
- اخاذی از هر نوع از طریق درخواست پول یا تهدید به افشای اطلاعات
- ایجاد حساب به تعداد نامعقول برای انجام آزمایش در برابر برنامهها و خدمات
محدوده
قبل از اضافه کردن یک سیستم یا خدمات به محدوده تحقیق خود، مطمئن شوید که اجازه دارید یا مجاز هستید که تست امنیتی را با استفاده از آن سیستم یا سرویس انجام دهید. مثلاً، اگر از یک ارائهدهنده خدمات مدیریتشده یا نرمافزار به عنوان خدمات استفاده میکنید، مطمئن شوید که فروشنده صراحتاً چنین آزمایشی را مجاز اعلام کرده است، از قبیل تایید اینکه این مجوز در قرارداد آژانس شما با ارائهدهنده وجود دارد یا سیاست دسترسی عمومی را شرح میدهد. در غیر این صورت، باید برای اخذ مجوز صریح خود با فروشنده همکاری کنید. اگر امکان اخذ مجوز فروشنده وجود ندارد، نمیتوانید آن سیستمها یا خدمات را در محدوده تحقیقات خود بگنجانید.
این سیاست برای سیستمها و خدمات زیر صدق میکند:
- pge.com
- guide.pge.com
- recreation.pge.com
- esft.pge.com
- lyncdiscover.pge.com
- safetyactioncenter.pge.com
- wbt.firstresponder.pge.com
- *.pge.com
هر سرویسی که صریحاً در بالا ذکر نشده است، مانند هر سرویس متصل، از محدوده این سیاست مستثنی است و برای آزمایش یا تحقیق مجاز نیست. به علاوه، هر گونه آسیبپذیری که شما در سیستمهای فروشندگان ما پیدا میکنید، خارج از محدوده این سیاست هستند و طبق سیاست افشای اطلاعات (در صورت وجود)، باید مستقیماً به فروشنده گزارش داده شوند. اگر مطمئن نیستید که آیا یک سیستم در محدوده قرار دارد یا خیر، قبل از شروع تحقیقات خود از طریق pgecirt@pge.com (یا از طریق مسئول امنیت مربوط به نام دامنه سیستم مندرج در .gov WHOIS) با ما تماس بگیرید.
گرچه ما سایر سیستمها یا خدمات قابل دسترسی به اینترنت را توسعه میدهیم و حفظ میکنیم، میخواهیم و انتظار داریم که تحقیقات و آزمایش فعال فقط روی سیستمها و خدمات تحت پوشش محدوده این سند انجام گیرند. اگر یک سیستم خاص در محدودهای نیست که از نظر شما ارزش آزمایش داشته باشد، لطفاً با ما تماس بگیرید تا قبل از هر چیز درباره آن گفتگو کنیم. ممکن است ما محدوده این سیاست را به مرور زمان افزایش دهیم.
گزارش یک آُسیبپذیری
از اطلاعات آسیبپذیری ارائه شده طبق این سیاست فقط برای اهداف دفاعی استفاده خواهد شد، تا آسیبپذیریها کاهش بیابند یا رفع شوند. اگر یافتههای شما شامل آسیبپذیریهایی باشد که تازه کشف شدهاند و نه فقط روی PG&E بلکه روی تمام کاربران یک محصول یا خدمات تاثیر میگذارند، ما گزارش شما را در اختیار آژانس امنیت سایبری و امنیت زیرساخت (Cybersecurity and Infrastructure Security Agency) قرار میدهیم، که در آنجا طبق فرآیند افشای آسیبپذیری هماهنگشده آنها به آن رسیدگی خواهد شد. ما بدون اجازه صریح شما، نام یا اطلاعات تماس شما را به اشتراک نخواهیم گذاشت. گزارشها ممکن است به طور ناشناس ارائه شوند. اگر اطلاعات تماس را ارائه دهید، ما تمام تلاش خود را به کار میگیریم تا ظرف سه (3) روز کاری دریافت گزارشتان را به شما اطلاع دهیم.
با ارائه یک گزارش آسیبپذیری، شما تایید میکنید که انتظار دریافت وجه ندارید و صراحتاً از اقامه دعوی علیه دولت آمریکا در آینده برای دریافت وجه در قبال ارائه گزارش خود صرفنظر میکنید.
آنچه میخواهیم از شما ببینیم
برای کمک به ما در ترسیم و اولویتبندی ارائهها، توصیه میکنیم که موارد زیر را در اولین تماس خود از طریق ایمیل به pgecirt@pge.com بگنجانید:
- توضیحات مهم درباره آسیبپذیری، محدوده و شدت آن.
- مکان دامنه آسیبپذیری و تاثیر بالقوه بهرهبرداری.
پس از اینکه اطلاعات اولیه را بررسی کردیم، یک ایمیل رمزگذاریشده برای شما ارسال خواهیم کرد تا بتوانید در پاسخ به آن جزئیات ویژه آسیبپذیری، اعم از یک توضیح جامع درباره مراحل مورد نیاز برای بازتولید آسیبپذیری را ارائه دهید (مدرک متنهای مفهومی یا عکس از صفحات مفید هستند).
آنچه میتوانید از ما انتظار داشته باشید
وقتی مطابق با این سیاست یک گزارش آسیبپذیری را به این برنامه ارائه میدهید، ما متعهد هستیم که به طور علنی و در اسرع وقت با شما هماهنگ کنیم.
- ظرف سه (3) روز کاری، ما تمام تلاش خود را به کار میگیریم تا اعلام کنیم که گزارش شما را دریافت کردهایم.
- تا جاییکه در حد توان ما است، وجود آسیبپذیری را نزد شما تایید خواهیم کرد و تا حد امکان درباره مراحلی که در طول روند بهبود انجام میدهیم، اعم از مسائل یا چالشهایی که ممکن است حل مسئله را به تاخیر بیاندازند، شفافسازی میکنیم.
- ما یک گفتگوی آزاد برای بحث درباره مسائل خواهیم داشت.
اختیارات مربوط به وجوه پرداختی افشا منحصراً در اختیار PG&E است اما PG&E در هیچ شرایطی برای افرادی که در فهرست تحریمها قرار دارند، یا در کشورهایی هستند که در فهرست تحریم قرار دارند (مثلاً کوبا، ایران، کره شمالی، سودان و سوریه) وجوه پرداختی افشا صادر نمیکند.
اطلاعات حقوقی برنامه افشای آسیبپذیری
لطفاً توجه کنید که ممکن است با توجه به قوانین محلی جاییکه در آن زندگی یا کار میکنید، محدودیتهای دیگری برای توانایی شما در ارائه آسیبپذیریهای افشا شده وجود داشته باشد.
ممکن است این سیاست تغییر کند و این برنامه در هر زمانی لغو شود، و تصمیم درباره پرداخت یا عدم پرداخت وجه افشا فقط با PG&E است.
منابع امنیتی اضافی
آژانس امنیت سایبری و امنیت زیرساخت (CISA)
اگر یافتههای شما شامل آسیبپذیریهایی باشد که تازه کشف شدهاند و نه فقط روی PG&E بلکه روی تمام کاربران یک محصول یا خدمات تاثیر میگذارند، با CISA تماس بگیرید.