漏洞披露政策

此政策旨在為合法安全研究人員提供展開漏洞揭露活動的明確指南，並且傳達太平洋煤電公司（「PG&E」）在如何向我們提交所發現的漏洞的偏好。

此政策描述此政策所涵蓋的系統以及研究類別、如何將漏洞報告寄發給我們，以及我們需要安全研究人員公開披露漏洞之前等待多長的時間。

我們鼓勵您與我們聯絡，根據以下協議，報告我們系統裡的潛在漏洞。

授權

如果我們認為，您在您的安全研究期間有做到確實遵守此政策，我們將會授權您的安全研究。我們將會與您合作瞭解問題以及快速解決問題，而 PG&E 將不會提議向您依照符合本政策方式進行的安全研究採取法律行動。您應該總是遵守所有適用的法律規範。

指南

根據此政策，「研究」是代表您從事以下活動：

• 當您發現一個實際或是潛在安全問題，請盡快通知我們。
• 盡一切努力避免隱私侵犯或披露、讓使用者體驗下降、影響生產系統，或是對數據資料破壞或操縱。
• 僅在確認漏洞存在所需的範疇內使用漏洞。請勿使用漏洞來破壞或竊取數據、建立授權命令列的長期使用，或是使用漏洞來轉移到其他系統。
• 在您公開向大眾披露之前，請給我們一個合理的時間來解決問題。
• 請勿提交大量低品質報告。

一旦您確定漏洞的存在，或是遇到任何非公開或敏感數據（包括個人身分資訊、財務資訊或任何一方的專有資訊以及商業機密），您必須停止研究，馬上通知我們，並且同意不向任何其他人揭露此項漏洞或資訊。

測試方法

以下測試方法以及研究不被授權：

• 網路拒絕服務（DoS 或 DDoS）測試或其他會影響或損壞系統或資料的測試
• 實體測試（例如辦公室使用、開門、尾隨）、社交工程（例如網路釣魚、語音釣魚），或任何其他非技術性漏洞測試
• 破壞或改變網站
• 透過索取金錢或威脅披露資訊而進行任何形式的勒索
• 建立不合理數量的帳戶來對應用程式或服務進行測試

範圍

在將系統或服務加到您研究範圍之前，請確保您被允許或授權使用該系統或服務進行安全測試。舉例來說，如果使用託管服務提供商或軟體作為服務，請務必缺任供應商已明確授權此類測試，例如確認卻任您的機構與供應商的合約中附帶此類授權，或詳細說明其公開可用的政策。 如果沒有，您必須與供應商合作以取得明確授權。如果無法獲得供應商的授權，您將無法將這些系統或服務納入您的研究範疇當中。

此政策適用於以下系統與服務：

• pge.com
• guide.pge.com
• recreation.pge.com
• esft.pge.com
• lyncdiscover.pge.com
• safetyactioncenter.pge.com
• wbt.firstresponder.pge.com
• *.pge.com

任何以上未明確列出的服務，例如任何連結服務，將不納入此政策的範疇之內，並且沒有進行測試或研究的授權。除此之外，任何您在我們供應上的系統所發現的任何漏洞都不在本政策的範疇之內，並且應根據其披露政策（若適用）直接向供應商報告。若您不確定某個系統是否於範疇內，請在開始研究之前透過 pgecirt@pge.com 與我們聯絡（或聯絡於 .gov WHOIS 名單列出的系統網域名稱的安全聯絡人）。

雖然我們開發以及維護其他可透過網路使用的系統或服務，我們希望並且期望僅對在此文件中所列的範疇所涵蓋的系統和服務進行積極的研究和測試。若您認有不在範疇內的特定系統值得測試，請先與我們聯絡討論。我們可能隨著時間增加此政策涵蓋的範疇。

回報漏洞

在此政策下所提交的漏洞資訊，將僅使用於防禦目的，以減緩或修補漏洞。若您的調查結果包括了新發現的漏洞可能會影響到所有產品或服務用戶，並不只是 PG&E，我們可能會與 Cybersecurity and Infrastructure Security Agency 分享您的報告，由他們的協調漏洞披露流程來處理此狀況。未經您的許可，我們不會分享您的姓名或聯絡資訊。報告可以匿名提交。若您分享聯絡資訊，我們會盡最大可能在三 (3) 個工作天內確認收到您的報告。

提交漏洞報告，即表示您瞭解您不期望獲得報酬，並且您放棄未來向美國政府提出與您提報的任何相關資料的任何報酬與索賠。

我們對您的期待

為了幫助我們對提交內容進行分類以及瞭解優先順序，我們建議您在一開始以電子郵件聯絡 pgecirt@pge.com 時，包括：

• 對漏洞、其範疇以及嚴重程度的高度詳細描述。
• 漏洞的網域位置以及被利用時的潛在影響。

一但我們審核初始資訊，我們將會寄發一封加密的電子郵件，以便您回覆漏洞的具體細節。這包括對重現漏洞所需步驟的詳細完整描述（概念敘述證明或螢幕擷取畫面是很有幫助的）。

您可以對我們有何期望

當您根據本政策向此計畫提交漏洞報告時，我們承諾會盡快地與您公開合作協調。

• 在三（3）個工作天之內，我們將會盡最大努力來確認我們已收到您的提報。
• 我們將會盡我們最大的努力，來向您確認漏洞的存在，並且盡可能透明地說明我們在補救過程中所採取的步驟，這包括了可能延誤補救的狀況和所與遇到的挑戰。
• 我們將保持公開對話來討論狀況。

披露付款的裁示完全由 PG&E 決定，但在任何情況下 PG&E 都不會付款披露給任何在制裁名單的個人，或在制裁國家名單中（例如：古巴、伊朗、北韓、蘇丹以及敘利亞）的個人。

漏洞披露計畫法律資訊

請注意，根據您居住或工作所在地的當地適用法律，您提交已披露漏洞的能力可能存在其他限制。

此政策可能會有所更動，且此計畫可以隨時被取消，並且是否支付披露費用完全由 PG&E 決定。