Quan trọng

Chính sách tiết lộ lỗ hổng bảo mật

Tìm hiểu những hệ thống và loại nghiên cứu nào được áp dụng

 

Chính sách này nhằm cung cấp cho các nhà nghiên cứu bảo mật hợp pháp những hướng dẫn rõ ràng để tiến hành các hoạt động khám phá lỗ hổng bảo mật và các tùy chọn truyền đạt thông tin của Pacific Gas & Electric Company ("PG&E") về cách thức gửi các lỗ hổng bảo mật được phát hiện cho chúng tôi.

 

Chính sách này mô tả những hệ thống và loại hình nghiên cứu nào nằm trong chính sách này, cách gửi cho chúng tôi báo cáo về lỗ hổng bảo mậtthời gian chúng tôi yêu cầu các nhà nghiên cứu bảo mật đợi trước khi tiết lộ công khai các lỗ hổng bảo mật.

 

Chúng tôi khuyến khích quý vị liên hệ với chúng tôi để báo cáo các lỗ hổng bảo mật có thể có trong hệ thống của chúng tôi theo quy trình sau.

 

Ủy quyền

Nếu chúng tôi xác định rằng quý vị đã thực hiện một nỗ lực thiện chí để tuân thủ chính sách này trong quá trình nghiên cứu bảo mật, chúng tôi sẽ xem nghiên cứu bảo mật của quý vị là được ủy quyền, chúng tôi sẽ hợp tác với quý vị để tìm hiểu và giải quyết vấn đề một cách nhanh chóng, đồng thời PG&E sẽ không đề xuất hành động pháp lý liên quan đến nghiên cứu bảo mật của quý vị được thực hiện phù hợp với chính sách này. Trong mọi trường hợp, quý vị phải tuân thủ tất cả các luật hiện hành.



Nguyên tắc

Theo chính sách này, "nghiên cứu" có nghĩa là các hoạt động trong đó quý vị:

 

  • Thông báo cho chúng tôi càng sớm càng tốt sau khi quý vị phát hiện ra sự cố bảo mật thực sự hoặc có thể xảy ra.
  • Cố gắng hết sức để tránh vi phạm hoặc tiết lộ quyền riêng tư, làm suy giảm trải nghiệm người dùng, gián đoạn hệ thống sản xuất hoặc hủy hoặc thao túng dữ liệu.
  • Chỉ sử dụng các khai thác trong phạm vi cần thiết để xác nhận sự hiện diện của lỗ hổng bảo mật. Không sử dụng khai thác để xâm phạm hoặc lấy cắp dữ liệu, thiết lập quyền truy cập dòng lệnh liên tục hoặc sử dụng khai thác để xoay vòng sang các hệ thống khác.
  • Cung cấp cho chúng tôi một khoảng thời gian hợp lý để giải quyết vấn đề trước khi quý vị tiết lộ sự cố một cách công khai.
  • Không gửi số lượng lớn các báo cáo chất lượng thấp.

 

Sau khi quý vị đã xác định rằng lỗ hổng bảo mật tồn tại hoặc gặp bất kỳ dữ liệu nhạy cảm hoặc không công khai nào (bao gồm thông tin nhận dạng cá nhân, thông tin tài chính hoặc thông tin độc quyền hoặc bí mật thương mại của bất kỳ bên nào), quý vị phải dừng nghiên cứu, thông báo cho chúng tôi ngay lập tức và đồng ý không được tiết lộ lỗ hổng bảo mật hoặc dữ liệu này cho bất kỳ ai khác.

Báo cáo lỗ hổng bảo mật

Phương pháp kiểm tra

Các phương pháp kiểm tra và nghiên cứu sau đây là không được phép:

 

  • Các kiểm tra từ chối dịch vụ mạng (DoS hoặc DDoS) hoặc các kiểm tra khác làm suy giảm khả năng truy cập hoặc làm hỏng hệ thống hoặc dữ liệu
  • Kiểm tra vật lý (ví dụ: ra vào văn phòng, mở cửa, đi theo qua cửa), kỹ thuật lừa đảo xã hội (ví dụ: lừa đảo, lừa đảo qua điện thoại) hoặc bất kỳ kiểm tra lỗ hổng phi kỹ thuật nào khác
  • Làm biến dạng hoặc thay đổi trang web
  • Tống tiền dưới bất kỳ hình thức nào bằng cách đòi tiền hoặc đe dọa tiết lộ thông tin
  • Tạo số lượng tài khoản không hợp lý để thực hiện kiểm tra các ứng dụng và dịch vụ

 

Phạm vi

Trước khi thêm một hệ thống hoặc dịch vụ vào phạm vi nghiên cứu của quý vị, hãy đảm bảo quý vị được phép hoặc được ủy quyền tiến hành kiểm tra bảo mật bằng hệ thống hoặc dịch vụ đó. Ví dụ: nếu quý vị sử dụng nhà cung cấp dịch vụ được quản lý hoặc phần mềm dưới dạng dịch vụ, hãy đảm bảo xác nhận rằng nhà cung cấp đã phê duyệt rõ ràng cho kiểm tra đó, chẳng hạn như xác nhận quyền hạn đó tồn tại trong hợp đồng của đại lý của quý vị với nhà cung cấp hoặc nêu chi tiết chính sách có sẵn công khai của họ. Nếu không, quý vị phải làm việc với nhà cung cấp xin phê duyệt rõ ràng. Nếu không thể có được ủy quyền của nhà cung cấp, quý vị không thể đưa các hệ thống hoặc dịch vụ đó vào phạm vi nghiên cứu của mình.

 

Chính sách này áp dụng cho các hệ thống và dịch vụ sau:

 

  • pge.com
  • guide.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

 

Bất kỳ dịch vụ nào không được liệt kê rõ ràng ở trên, chẳng hạn như mọi dịch vụ được kết nối, đều bị loại khỏi phạm vi của chính sách này và không được phép kiểm tra hoặc nghiên cứu. Ngoài ra, bất kỳ lỗ hổng bảo mật nào quý vị tìm thấy trong hệ thống từ các nhà cung cấp của chúng tôi đều nằm ngoài phạm vi của chính sách này và phải được báo cáo trực tiếp cho nhà cung cấp theo chính sách tiết lộ lỗ hổng bảo mật của họ (nếu có). Nếu quý vị không chắc liệu một hệ thống có nằm trong phạm vi hay không, hãy liên hệ với chúng tôi theo địa chỉ pgecirt@pge.com trước khi bắt đầu nghiên cứu của quý vị (hoặc tại địa chỉ liên hệ bảo mật cho tên miền của hệ thống được liệt kê trong .gov WHOIS).

 

Mặc dù chúng tôi phát triển và duy trì các hệ thống hoặc dịch vụ có thể truy cập internet khác, chúng tôi mong muốn và kỳ vọng rằng nghiên cứu và kiểm tra tích cực sẽ chỉ được thực hiện trên các hệ thống và dịch vụ được đề cập trong phạm vi của tài liệu này. Nếu có một hệ thống cụ thể không nằm trong phạm vi mà quý vị cho rằng đáng để kiểm tra, vui lòng liên hệ với chúng tôi để thảo luận trước. Chúng tôi có thể tăng phạm vi của chính sách này theo thời gian.

 

Báo cáo lỗ hổng bảo mật

Thông tin về lỗ hổng bảo mật được gửi theo chính sách này sẽ chỉ được sử dụng cho mục đích phòng thủ, để giảm thiểu hoặc khắc phục các lỗ hổng bảo mật. Nếu phát hiện của quý vị bao gồm các lỗ hổng bảo mật mới được phát hiện ảnh hưởng đến tất cả người dùng sản phẩm hoặc dịch vụ và không chỉ PG&E, chúng tôi có thể chia sẻ báo cáo của quý vị với Cybersecurity and Infrastructure Security Agency, nơi báo cáo sẽ được xử lý theo quy định của họ. Chúng tôi sẽ không chia sẻ tên hoặc thông tin liên hệ của quý vị nếu không có sự cho phép rõ ràng của quý vị. Báo cáo có thể được gửi ẩn danh. Nếu quý vị chia sẻ thông tin liên hệ, chúng tôi sẽ cố gắng hết sức để xác nhận đã nhận được báo cáo của quý vị trong vòng ba (3) ngày làm việc.

 

Khi gửi báo cáo về lỗ hổng bảo mật, quý vị xác nhận rằng quý vị không có kỳ vọng được thanh toán và quý vị thể hiện rõ ràng từ bỏ mọi khiếu nại về khoản thanh toán trong tương lai đối với Chính phủ Hoa Kỳ liên quan đến nội dung quý vị gửi.

 

Mong đợi của chúng tôi từ quý vị

Để giúp chúng tôi phân loại và ưu tiên các nội dung gửi, chúng tôi đề nghị email liên hệ đầu tiên của quý vị đến pgecirt@pge.com nên bao gồm:

  • Mô tả cấp cao về lỗ hổng bảo mật, phạm vi và mức độ nghiêm trọng.
  • Vị trí miền của lỗ hổng bảo mật và tác động khai thác có thể có.

 

Sau khi chúng tôi xem xét thông tin ban đầu, chúng tôi sẽ gửi cho quý vị một email được mã hóa để quý vị có thể trả lời kèm theo thông tin chi tiết cụ thể về lỗ hổng bảo mật, bao gồm mô tả toàn diện về các bước cần thiết để vá lỗ hổng bảo mật (các tập lệnh bằng chứng về khái niệm hoặc ảnh chụp màn hình đều hữu ích).



Những gì quý vị có thể kỳ vọng từ chúng tôi

Khi quý vị gửi báo cáo về lỗ hổng bảo mật cho chương trình này theo chính sách này, chúng tôi cam kết phối hợp với quý vị một cách cởi mở và nhanh nhất có thể.

  • Trong vòng ba (3) ngày làm việc, chúng tôi sẽ cố gắng hết sức để xác nhận rằng chúng tôi đã nhận được báo cáo của quý vị.
  • Với nỗ lực tốt nhất, chúng tôi sẽ xác nhận sự tồn tại của lỗ hổng bảo mật cho quý vị và minh bạch nhất có thể về những bước chúng tôi đang thực hiện trong quá trình khắc phục, bao gồm những vấn đề hoặc thách thức có thể trì hoãn việc giải quyết.
  • Chúng tôi sẽ duy trì một cuộc đối thoại cởi mở để thảo luận về các vấn đề.

 

Quyền quyết định đối với các khoản thanh toán tiết lộ thông tin chỉ thuộc về PG&E nhưng trong mọi trường hợp PG&E sẽ không cấp các khoản thanh toán tiết lộ thông tin cho các cá nhân nằm trong danh sách trừng phạt hoặc những người ở các quốc gia (ví dụ: Cuba, Iran, Triều Tiên, Sudan và Syria) trong danh sách trừng phạt.

 

Thông tin Pháp lý về Chương trình Tiết lộ Lỗ hổng Bảo mật

Xin lưu ý rằng có thể có các hạn chế bổ sung đối với khả năng quý vị gửi các lỗ hổng bảo mật được phát hiện tùy thuộc vào luật hiện hành của địa phương nơi quý vị sinh sống hoặc làm việc.

 

Chính sách này có thể được thay đổi và chương trình này có thể bị hủy bất kỳ lúc nào và quyết định có thanh toán cho việc tiết lộ thông tin hay không chỉ thuộc về PG&E.

 

Nguồn lực bảo mật bổ sung

Cybersecurity and Infrastructure Security Agency (CISA)

Hãy liên hệ với CISA nếu phát hiện của quý vị chứa các lỗ hổng mới được phát hiện ảnh hưởng đến tất cả người dùng sản phẩm hoặc dịch vụ chứ không chỉ PG&E.