สำคัญ
ติดต่อเรา
ติดต่อเรา

ข้อความนโยบายการเปิดเผยช่องโหว่

เรียนรู้ว่าครอบคลุมระบบและการวิจัยแบบใดบ้าง

 

นโยบายนี้มีวัตถุประสงค์เพื่อกำหนดแนวทางที่ชัดเจนสำหรับนักวิจัยด้านความปลอดภัยที่ถูกต้องตามกฎหมายในการดำเนินกิจกรรมการค้นหาช่องโหว่และเพื่อถ่ายทอดการกำหนดค่าของ Pacific Gas & Electric Company ("PG&E") ในการส่งข้อมูลช่องโหว่ที่ค้นพบมาให้เรา

 

นโยบายนี้อธิบายว่า ระบบและประเภทของการวิจัยใดที่ครอบคลุมภายใต้นโยบายนี้ วิธีส่งรายงานช่องโหว่ถึงเรา และเรากำหนดให้นักวิจัยด้านความปลอดภัยต้องรอนานเท่าใดก่อนที่จะเปิดเผยช่องโหว่ต่อสาธารณะ

 

เราสนับสนุนให้คุณติดต่อเราเพื่อรายงานช่องโหว่ที่เป็นไปได้ในระบบของเราตามระเบียบการต่อไปนี้

 

การอนุญาต

หากเราพิจารณาเห็นว่าคุณได้ใช้ความพยายามโดยสุจริตใจในการปฏิบัติตามนโยบายนี้ในระหว่างการวิจัยด้านความปลอดภัยของคุณ เราจะถือว่าการวิจัยด้านความปลอดภัยของคุณนั้นได้รับอนุญาต เราจะทำงานร่วมกับคุณเพื่อทำความเข้าใจและแก้ไขปัญหาอย่างรวดเร็ว และ PG&E จะไม่ดำเนินการทางกฎหมายที่เกี่ยวข้องกับการวิจัยด้านความปลอดภัยของคุณในลักษณะที่สอดคล้องกับนโยบายนี้ คุณได้รับการคาดหวังให้ปฏิบัติตามกฎหมายที่บังคับใช้ทั้งหมด



แนวปฏิบัติ

ภายใต้นโยบายนี้ "การวิจัย" หมายถึงกิจกรรมดังต่อไปนี้ของคุณ:

 

  • แจ้งให้เราทราบโดยเร็วที่สุดหลังจากที่คุณค้นพบปัญหาในเรื่องความปลอดภัยที่เกิดขึ้นจริงหรือเป็นไปได้
  • พยายามทุกวิถีทางเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัวหรือการเปิดเผยข้อมูล การลดระดับประสบการณ์ผู้ใช้ การหยุดชะงักของระบบการผลิต หรือการทำลายหรือการจัดการข้อมูล
  • ใช้ประโยชน์ในขอบเขตที่จำเป็นเท่านั้นเพื่อยืนยันการมีอยู่ของช่องโหว่ ห้ามใช้ช่องโหว่เพื่อเจาะระบบหรือกรองข้อมูล สร้างชุดคำสั่งเพื่อให้สามารถเข้าถึงได้ตลอดเวลา หรือใช้ประโยชน์จากช่องโหว่เพื่อเปลี่ยนระบบไปยังระบบอื่น
  • ให้เวลาเราพอสมควรในการแก้ไขปัญหาก่อนที่คุณจะเปิดเผยต่อสาธารณะ
  • อย่าส่งรายงานคุณภาพต่ำจำนวนมาก

 

เมื่อคุณพบว่ามีช่องโหว่หรือพบข้อมูลที่ไม่เปิดเผยต่อสาธารณะหรือข้อมูลที่สำคัญ (รวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ข้อมูลทางการเงิน หรือข้อมูลที่เป็นกรรมสิทธิ์หรือความลับทางการค้าของฝ่ายใดฝ่ายหนึ่ง) คุณต้องหยุดทำการวิจัย แจ้งให้เราทราบทันที และตกลงที่จะไม่เปิดเผยช่องโหว่หรือข้อมูลนี้ต่อบุคคลอื่น

รายงานช่องโหว่ด้านความปลอดภัย

Email PG&E security

วิธีการทดสอบ

วิธีการทดสอบและการวิจัยต่อไปนี้ไม่ได้รับอนุญาต:

 

  • การทดสอบการปฏิเสธการให้บริการเครือข่าย (DoS หรือ DDoS) หรือการทดสอบอื่น ๆ ที่ทำให้การเข้าถึงหรือสร้างความเสียหายแก่ระบบหรือข้อมูลลดลง
  • การทดสอบทางกายภาพ (เช่น การเข้าถึงสำนักงาน เปิดประตู การบุกรุกของผู้ไม่มีสิทธิผ่านประตู) วิศวกรรมสังคม (เช่น ฟิชชิ่ง วิชชิ่ง) หรือการทดสอบช่องโหว่อื่น ๆ ที่ไม่ใช่ด้านเทคนิค
  • การทำลายหรือการเปลี่ยนแปลงเว็บไซต์
  • การขู่กรรโชกทุกรูปแบบโดยการขอเงินหรือขู่ว่าจะเปิดเผยข้อมูล
  • สร้างบัญชีในจำนวนที่ไม่สมเหตุสมผลเพื่อทำการทดสอบกับแอปพลิเคชันและบริการ

 

ขอบเขต

ก่อนที่จะเพิ่มระบบหรือบริการในขอบเขตการวิจัยของคุณ ตรวจสอบให้แน่ใจว่าคุณได้รับอนุญาตหรือได้รับอนุมัติให้ดำเนินการทดสอบความปลอดภัยโดยใช้ระบบหรือบริการนั้น ตัวอย่างเช่น หากคุณใช้บริการของผู้ให้บริการที่ได้รับการจัดการหรือซอฟต์แวร์บริการ ต้องตรวจสอบให้แน่ใจว่าผู้ขายได้อนุญาตการทดสอบดังกล่าวอย่างชัดแจ้ง เช่น การยืนยันว่ามีสิทธิ์ดังกล่าวมีอยู่ในสัญญาของตัวแทนของคุณกับผู้ให้บริการ หรือมีรายละเอียดนโยบายที่เปิดเผยต่อสาธารณะ หากไม่ได้เป็นเช่นนั้น คุณต้องประสานงานกับผู้ขายเพื่อขออนุญาตอย่างชัดแจ้ง หากไม่สามารถขออนุญาตจากผู้ขายได้ คุณไม่สามารถรวมระบบหรือบริการเหล่านั้นไว้ในขอบเขตการวิจัยของคุณได้

 

นโยบายนี้ใช้กับระบบและบริการต่อไปนี้:

 

  • pge.com
  • guide.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

 

บริการใด ๆ ที่ไม่ได้ระบุไว้อย่างชัดแจ้งข้างต้น เช่น บริการที่เชื่อมต่อ จะไม่รวมอยู่ในขอบเขตของนโยบายนี้ และไม่ได้รับอนุญาตให้ทดสอบหรือวิจัย นอกจากนี้ ช่องโหว่ใด ๆ ที่คุณพบในระบบจากผู้ขายของเราจะอยู่นอกเหนือขอบเขตของนโยบายนี้ และควรรายงานไปยังผู้ขายโดยตรงตามนโยบายการเปิดเผยข้อมูล (ถ้ามี) หากคุณไม่แน่ใจว่าระบบอยู่ในขอบเขตหรือไม่ โปรดติดต่อเราได้ที่ pgecirt@pge.com ก่อนที่จะเริ่มทำการวิจัย (หรือตามข้อมูลการติดต่อในเรื่องการรักษาความปลอดภัยสำหรับชื่อโดเมนของระบบที่ระบุไว้ใน .gov WHOIS)

 

แม้ว่าเราจะพัฒนาและบำรุงรักษาระบบหรือบริการที่เข้าถึงได้ผ่านทางอินเทอร์เน็ต แต่ความปรารถนาและความคาดหวังของเราก็คือการวิจัยและการทดสอบเชิงรุกจะต้องดำเนินการเฉพาะกับระบบและบริการที่ขอบเขตของเอกสารนี้ครอบคลุมเท่านั้น หากมีระบบใดที่ไม่อยู่ภายในขอบเขตที่คุณคิดว่าเป็นการทดสอบโดยสุจริตใจ โปรดติดต่อเราเพื่อหารือเกี่ยวกับระบบก่อนเสมอ เราอาจจะเพิ่มขอบเขตของนโยบายนี้ในอนาคต

 

การรายงานช่องโหว่

ข้อมูลช่องโหว่ที่ส่งภายใต้นโยบายนี้จะใช้เพื่อวัตถุประสงค์ในการป้องกันเท่านั้น เพื่อลดหรือแก้ไขช่องโหว่นั้น หากการค้นพบของคุณมีช่องโหว่ที่เพิ่งค้นพบซึ่งส่งผลกระทบต่อผู้ใช้ผลิตภัณฑ์หรือบริการทั้งหมด และไม่ใช่เฉพาะ PG&E เราอาจแบ่งปันรายงานของคุณกับหน่วยงาน Cybersecurity and Infrastructure Security Agency ซึ่งจะจัดการภายใต้รายงานดังกล่าว เราจะไม่เปิดเผยชื่อหรือข้อมูลการติดต่อของคุณโดยไม่ได้รับอนุญาตอย่างชัดแจ้งจากคุณ รายงานอาจถูกส่งโดยไม่เปิดเผยชื่อ หากคุณเปิดเผยข้อมูลการติดต่อ เราจะพยายามอย่างเต็มที่เพื่อรับทราบถึงการรับรายงานจากคุณภายในสาม (3) วันทำการ

 

การส่งรายงานช่องโหว่จะถือว่าว่าคุณรับทราบว่าคุณไม่ได้คาดหวังที่จะได้รับการชำระเงิน และคุณจะสละสิทธิ์อย่างชัดแจ้งในการเรียกร้องการจ่ายเงินในอนาคตจากรัฐบาลสหรัฐที่เกี่ยวข้องกับการส่งของคุณ

 

สิ่งที่เราอยากเห็นจากคุณ

เพื่อช่วยเราคัดแยกและจัดลำดับความสำคัญของการส่ง เราขอแนะนำให้คุณส่งอีเมลถึง pgecirt@pge.com เป็นครั้งแรกโดยระบุ:

  • คำอธิบายระดับสูงเกี่ยวกับช่องโหว่ ขอบเขต และความรุนแรง
  • ตำแหน่งโดเมนของช่องโหว่และผลกระทบที่อาจเกิดขึ้นจากการแสวงหาประโยชน์

 

หลังจากที่เราตรวจสอบข้อมูลเบื้องต้นแล้ว เราจะส่งอีเมลที่เข้ารหัสถึงคุณ เพื่อให้คุณสามารถตอบกลับพร้อมรายละเอียดเฉพาะของช่องโหว่ รวมถึงคำอธิบายที่ครอบคลุมเกี่ยวกับขั้นตอนที่จำเป็นในการทำให้เกิดช่องโหว่ซ้ำ (การแนบสคริปต์การพิสูจน์แนวคิดหรือภาพหน้าจอจะเป็นประโยชน์อย่างยิ่ง)



สิ่งที่คุณคาดหวังได้จากเรา

เมื่อคุณส่งรายงานช่องโหว่ไปยังโปรแกรมนี้ตามนโยบายนี้ เรามีพันธกิจที่จะประสานงานกับคุณอย่างเปิดเผยและรวดเร็วที่สุด

  • เราจะพยายามอย่างเต็มที่เพื่อรับทราบว่าได้รับรายงานของคุณแล้วภายในสาม (3) วันทำการ
  • เราจะยืนยันกับคุณถึงการมีอยู่ของช่องโหว่ และอย่างโปร่งใสที่สุดเท่าที่จะเป็นไปได้เกี่ยวกับขั้นตอนที่เรากำลังดำเนินการในระหว่างกระบวนการแก้ไขอย่างสุดความสามารถ รวมถึงปัญหาหรือความท้าทายที่อาจทำให้การแก้ไขเกิดความล่าช้า
  • เราจะจัดให้มีการสนทนาที่เปิดกว้างเพื่อหารือเกี่ยวกับประเด็นต่าง ๆ

 

ดุลยพินิจในเรื่องการเปิดเผยการชำระเงินจะขึ้นอยู่กับ PG&E แต่เพียงฝ่ายเดียว แต่ไม่ว่าในกรณีใด PG&E จะไม่ชำระเงินสำหรับการเปิดเผยข้อมูลให้แก่บุคคลที่อยู่ในชื่อการคว่ำบาตร หรือผู้ที่อยู่ในประเทศต่าง ๆ (เช่น คิวบา อิหร่าน เกาหลีเหนือ ซูดาน และซีเรีย) ที่อยู่ในรายชื่อการคว่ำบาตร

 

ข้อมูลทางกฎหมายของโปรแกรมการเปิดเผยช่องโหว่

โปรดทราบว่าอาจมีข้อจำกัดเพิ่มเติมเกี่ยวกับความสามารถของคุณในการส่งข้อมูลการเปิดเผยช่องโหว่ ซึ่งจะขึ้นอยู่กับกฎหมายในท้องถิ่นที่เกี่ยวข้องกับสถานที่คุณพำนักอาศัยหรือทำงาน

 

นโยบายนี้อาจมีการเปลี่ยนแปลงและโปรแกรมนี้สามารถยกเลิกได้ตลอดเวลา และการตัดสินใจว่าจะจ่ายชำระเงินสำหรับการเปิดเผยข้อมูลหรือไม่นั้นขึ้นอยู่กับ PG&E แต่เพียงฝ่ายเดียว

 

แหล่งข้อมูลด้านความปลอดภัยเพิ่มเติม

Cybersecurity and Infrastructure Security Agency (CISA)

ติดต่อ CISA หากสิ่งที่คุณเจอมีช่องโหว่ที่เพิ่งค้นพบ ซึ่งส่งผลกระทบต่อผู้ใช้ผลิตภัณฑ์หรือบริการทั้งหมด ไม่ใช่เฉพาะ PG&E

เรียนรู้เพิ่มเติมเกี่ยวกับ CISA

©2024 Pacific Gas and Electric Company

©2024 Pacific Gas and Electric Company