Política de divulgação de vulnerabilidades

Esta política tem como objetivo fornecer aos investigadores de segurança legítimos diretrizes claras para a realização de atividades de descoberta de vulnerabilidades e transmitir à Pacific Gas & Electric Company's ("PG&E") preferências de como nos enviar vulnerabilidades descobertas.

Esta política descreve que sistemas e tipos de investigação são cobertos por esta política, como nos enviar relatórios de vulnerabilidade e quanto tempo exigimos que os investigadores de segurança esperem antes de divulgarem publicamente as vulnerabilidades.

Recomendamos que entre em contacto connosco para denunciar possíveis vulnerabilidades nos nossos sistemas de acordo com os protocolos a seguir.

Autorização

Se determinarmos que fez um esforço de boa fé para cumprir esta política durante a sua investigação de segurança, consideraremos que a sua investigação de segurança foi autorizada e trabalharemos consigo para entender e resolver o problema rapidamente, e a PG&E não recomendará ação legal relacionada com a sua investigação de segurança realizada de forma consistente com esta política. Espera-se que você, como sempre, cumpra todas as leis aplicáveis.

Diretrizes

De acordo com esta política, "investigação" significa atividades nas quais:

• Notifica-nos o mais rapidamente possível após descobrir um problema de segurança real ou potencial.
• Faz todos os esforços para evitar violações ou divulgações de privacidade, degradação da experiência do utilizador, interrupção dos sistemas de produção ou destruição ou manipulação de dados.
• Usa exploits apenas na medida necessária para confirmar a presença de uma vulnerabilidade. Não use um exploit para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando, ou use o exploit para pivotar para outros sistemas.
• Dê-nos um tempo razoável para resolvermos o problema antes de o divulgar publicamente.
• Não envie um grande volume de relatórios de baixa qualidade.

Depois de estabelecer que existe uma vulnerabilidade, ou encontrar quaisquer dados não públicos ou confidenciais (incluindo informações de identificação pessoal, informações financeiras ou informações proprietárias ou segredos comerciais de qualquer parte), deve interromper a sua investigação e notificar-nos de imediato, e concordar em não divulgar a ninguém esta vulnerabilidade ou estes dados.

Métodos de teste

Os seguintes métodos de teste e investigação não estão autorizados:

• Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudicam o acesso ou danificam um sistema ou dados
• Testes físicos (por exemplo, acesso a escritórios, portas abertas, utilização não autorizada), engenharia social (por exemplo, phishing, vishing) ou qualquer outro teste de vulnerabilidade não técnico
• Desfiguração ou alteração de sites
• Extorsão de qualquer tipo, pedindo dinheiro ou ameaçando divulgar informações
• Crie um número excessivo de contas para realizar testes em aplicações e serviços

Âmbito

Antes de adicionar um sistema ou serviço ao âmbito da sua pesquisa, certifique-se de ter permissão ou autorização para realizar testes de segurança usando esse sistema ou serviço. Por exemplo, se usar um fornecedor de serviços geridos ou software como serviço, certifique-se de confirmar se o fornecedor autorizou explicitamente esse teste, como a confirmação de que tal autoridade existe no contrato da sua agência com o fornecedor ou se detalha a sua política publicamente disponível. Caso contrário, deve trabalhar com o fornecedor para obter autorização explícita. Se não for possível obter a autorização do fornecedor, não pode incluir esses sistemas ou serviços no âmbito da sua investigação.

Esta política aplica-se aos seguintes sistemas e serviços:

• pge.com
• guide.pge.com
• recreation.pge.com
• esft.pge.com
• lyncdiscover.pge.com
• safetyactioncenter.pge.com
• wbt.firstresponder.pge.com
• *.pge.com

Qualquer serviço não expressamente listado acima, como quaisquer serviços conectados, estão excluídos do âmbito desta política e não estão autorizados para testes ou pesquisas. Além disso, quaisquer vulnerabilidades que encontre em sistemas dos nossos fornecedores estão fora do âmbito desta política e devem ser relatadas diretamente ao fornecedor de acordo com a sua política de divulgação (se houver). Se não tiver a certeza se um sistema está no âmbito ou não, entre em contacto connosco em pgecirt@pge.com antes de iniciar a sua investigação (ou no contacto de segurança para o nome de domínio do sistema listado em .gov WHOIS).

Embora desenvolvamos e mantenhamos outros sistemas ou serviços acessíveis pela Internet, o nosso desejo e expetativa são que as investigações e os testes ativos sejam realizados apenas nos sistemas e serviços cobertos pelo âmbito deste documento. Se houver um sistema específico fora do âmbito que ache que merece ser testado, entre em contacto connosco para discuti-lo primeiro. Podemos aumentar o âmbito desta política com o tempo.

Denunciar uma vulnerabilidade

As informações de vulnerabilidade enviadas de acordo com esta política serão usadas apenas para fins defensivos, para mitigar ou para corrigir vulnerabilidades. Se as suas descobertas incluírem vulnerabilidades recém-descobertas que afetam todos os utilizadores de um produto ou serviço e não apenas a PG&E, podemos partilhar o seu relatório com a Cybersecurity and Infrastructure Security Agency, onde este será tratado sob a coordenação do seu processo de divulgação de vulnerabilidade. Não partilharemos o seu nome ou informações de contacto sem a sua permissão expressa. As denúncias podem ser enviadas anonimamente. Se partilhar informações de contacto, faremos o possível para acusar o recebimento da sua denúncia em até três (3) dias úteis.

Ao enviar uma denúncia de vulnerabilidade, reconhece que não tem nenhuma expetativa de pagamento e que renuncia expressamente a quaisquer reivindicações de pagamento futuras contra o governo dos Estados Unidos relacionadas com o seu envio.

O que gostaríamos de ver de si

Para nos ajudar a fazer a triagem e priorizar os envios, recomendamos que o seu primeiro contacto de e-mail para pgecirt@pge.com inclua:

• Uma descrição de alto nível da vulnerabilidade, o seu âmbito e gravidade.
• A localização do domínio da vulnerabilidade e o potencial impacto da exploração.

Assim que revirmos as informações iniciais, enviaremos um e-mail encriptado para que possa responder com detalhes específicos da vulnerabilidade, incluindo uma descrição abrangente dos passos necessários para reproduzir a vulnerabilidade (scripts de prova de conceito ou capturas de ecrã são úteis).

O que pode esperar de nós

Quando enviar uma denúncia de vulnerabilidade a este programa de acordo com esta política, comprometemo-nos a coordenar consigo da forma mais aberta e rápida possível.

• Dentro de três (3) dias úteis, faremos o possível para reconhecer que a sua denúncia foi recebida.
• Da melhor forma possível, confirmar-lhe-emos a existência da vulnerabilidade e seremos o mais transparentes possível sobre os passos que estamos a dar durante o processo de remediação, incluindo problemas ou desafios que podem atrasar a resolução.
• Manteremos um diálogo aberto para discutir os problemas.

A discrição sobre os pagamentos de divulgação cabe exclusivamente à PG&E, mas em nenhuma circunstância a PG&E emitirá pagamentos de divulgação para indivíduos que estão em listas de sanções ou que estão em países (por exemplo, Cuba, Irão, Coreia do Norte, Sudão e Síria) em listas de sanções.

Informações legais do programa de divulgação de vulnerabilidades

Observe que pode haver restrições adicionais à sua capacidade de enviar vulnerabilidades divulgadas, dependendo das leis locais aplicáveis onde reside ou trabalha.

Esta política pode ser alterada e este programa pode ser cancelado a qualquer momento, e a decisão de fazer um pagamento de divulgação cabe exclusivamente à PG&E.