Политика в отношении раскрытия информации об уязвимостях

Настоящая политика предназначена для предоставления уполномоченным специалистам по безопасности четких указаний относительно проведения мероприятий по обнаружению уязвимостей и для разъяснения предпочтений компании Pacific Gas & Electric Company (PG&E) в отношении того, как предоставлять нам информацию об обнаруженных уязвимостях.

Эта политика описывает, на какие системы и типы исследований распространяется данная политика, как отправлять нам отчеты об уязвимостях и какой период времени должен пройти до публичного заявления специалистами по вопросам безопасности об уязвимостях.

Мы призываем вас обращаться к нам, чтобы сообщать о потенциальных уязвимостях в наших системах в соответствии со следующими протоколами.

Одобрение

Если мы установим, что вы добросовестно старались соблюдать данную политику во время изучения вопросов безопасности, мы будем считать ваше изучение вопросов безопасности одобренным, мы будем работать с вами, чтобы быстро понять и решить проблему, и PG&E не будет рекомендовать учинять судебные действия, связанные с изучением вами вопросов безопасности, проведенным в соответствии с данной политикой. Как всегда, от вас ожидается соблюдение всех применимых законов.

Руководящие принципы

Согласно данной политике «исследование» означает деятельность, в ходе которой вы:

• сообщаете нам как можно скорее об обнаружении реальной или потенциальной проблемы безопасности;
• прикладываете все усилия, чтобы избежать нарушения или раскрытия конфиденциальной информации, ухудшения работы пользователей, нарушения работы производственных систем, уничтожения или манипулирования данными;
• используете эксплойты только в той мере, в какой это необходимо для подтверждения наличия уязвимости. не используете эксплойт для нарушения или утечки данных, получения постоянного доступа к командной строке или использования эксплойта для перехода на другие системы;
• предоставляете нам разумное время для решения проблемы до ее публичного оглашения;
• не подаете много отчетов низкого качества.

Как только вы установили, что существует уязвимость или обнаружили какие-либо непубличные или конфиденциальные данные (включая личную информацию, финансовую информацию, информацию, являющуюся собственностью или коммерческой тайной любой стороны), вы должны прекратить свои исследования, немедленно уведомить нас и согласиться не раскрывать эту уязвимость или данные кому-либо еще.

Методы испытаний

Следующие методы испытаний и исследований не допускаются:

• Тесты на отказ в обслуживании сети (DoS или DDoS) или другие тесты, нарушающие доступ к системе или данным или наносящие им ущерб
• Физическое тестирование (например, доступ в офис, открытые двери, «хвост»), социальная инженерия (например, фишинг, вишинг) или любое другое нетехническое тестирование уязвимостей
• Повреждение или изменение веб-сайтов
• Вымогательство любого рода путем требования денег или угрозы раскрытия информации
• Создание необоснованного количества счетов для проведения тестирования приложений и сервисов

Рамки политики

Прежде чем включать систему или сервис в область исследования, убедитесь в том, что вы имеете разрешение или уполномочены проводить тестирование безопасности с использованием этой системы или сервиса. Например, если вы используете поставщика услуг или программное обеспечение как услугу, убедитесь, что поставщик явно разрешил такое тестирование, например, проверьте, есть ли такие полномочия в договоре вашего агентства с поставщиком или подробно ли изложена его общедоступная политика. Если это не так, вы должны работать с поставщиком, чтобы получить явное разрешение. Если получить разрешение поставщика невозможно, вы не должны включать эти системы или сервис в сферу своего исследования.

Данная политика распространяется на следующие системы и сервисы:

• pge.com
• guide.pge.com
• recreation.pge.com
• esft.pge.com
• lyncdiscover.pge.com
• safetyactioncenter.pge.com
• wbt.firstresponder.pge.com
• *.pge.com

Любые сервисы, прямо не перечисленные выше, например, любые подключенные услуги, исключены из сферы действия данной политики и не разрешены для тестирования или исследования. Кроме того, любые уязвимости, обнаруженные вами в системах наших поставщиков, выходят за рамки данной политики, и о них следует сообщать непосредственно поставщику в соответствии с его политикой раскрытия информации (если таковая имеется). Если вы не уверены, входит ли система в сферу действия или нет, свяжитесь с нами по адресу pgecirt@pge.com перед началом исследования (или с контактным лицом службы безопасности доменного имени системы, указанного в .gov WHOIS).

Хотя мы разрабатываем и поддерживаем другие системы или услуги, доступные через Интернет, наше намерение и требование состоит в том, чтобы активные исследования и тестирование проводились только на системах и службах, входящих в сферу действия данного документа. Если есть конкретная система, не входящая в область применения, которая, по вашему мнению, нуждается в тестировании, свяжитесь с нами, чтобы обсудить ее в первую очередь. Со временем мы можем расширить рамки этой политики.

Сообщение об уязвимости

Информация об уязвимости, предоставленная в соответствии с данной политикой, будет использоваться только в целях защиты, для снижения или устранения уязвимостей. Если ваши выводы включают вновь обнаруженные уязвимости, которые затрагивают всех пользователей продукта или услуги, а не только PG&E, мы можем передать ваш отчет в Cybersecurity and Infrastructure Security Agency, где он будет рассматриваться. Мы не будем сообщать ваше имя или контактную информацию без вашего прямого разрешения.Отчеты могут быть представлены анонимно. Если вы предоставите контактную информацию, мы приложим все усилия, чтобы подтвердить получение вашего сообщения в течение трех (3) рабочих дней.

Направляя отчет об уязвимости, вы признаете, что не ожидаете оплаты и отказываетесь от любых будущих претензий к правительству США по оплате, связанных с вашим отчетом.

Чего мы ждем от вас

Для того чтобы помочь нам в оценке и расстановке приоритетов, мы рекомендуем, чтобы ваше первое письмо по адресу pgecirt@pge.com включало:

• качественное общее описание уязвимости, а также ее масштаба и серьезности;
• доменное расположение уязвимости и потенциальное воздействие использования.

Как только мы рассмотрим исходную информацию, мы отправим вам зашифрованное электронное письмо, чтобы вы могли ответить на него с конкретными деталями уязвимости, включая полное описание шагов, необходимых для воспроизведения уязвимости (полезны сценарии или скриншоты, подтверждающие концепцию).

Чего вы можете ожидать от нас

Когда вы отправляете отчет об уязвимости в эту программу в соответствии с данной политикой, мы обязуемся координировать с вами свои действия максимально открыто и быстро.

• Мы приложим все усилия, чтобы подтвердить в течение трех (3) рабочих дней, что ваш отчет был получен.
• В меру своих возможностей мы подтвердим существование уязвимости и будем максимально прозрачны в отношении того, какие шаги мы предпринимаем в процессе устранения уязвимости, включая вопросы и проблемы, которые могут задержать решение.
• Мы будем поддерживать открытый диалог для обсуждения вопросов.

Решение о выплатах за раскрытие информации принимается исключительно PG&E, но ни при каких обстоятельствах PG&E не будет осуществлять выплаты за раскрытие информации лицам, которые включены в санкционные списки или находятся в странах, включенных в санкционные списки (например, Кубе, Иране, Северной Корее, Судане и Сирии).

Программа раскрытия уязвимостей: юридическая информация

Обратите внимание, что могут существовать дополнительные ограничения на вашу возможность предоставлять раскрытые уязвимости в зависимости от действующего местного законодательства, на территории вашего проживания или работы.

Эта политика может быть изменена, а данная программа может быть отменена в любое время, и решение о том, следует ли платить за раскрытие информации, принимает исключительно PG&E.