Patakaran sa pagsiwalat ng kahinaan

Ang patakarang ito ay nilalayong magbigay ng malinaw na mga gabay sa lehitimong mga mananaliksik sa seguridad para sa pagsasagawa ng mga aktibidad sa pagtuklas ng kahinaan at ipaalam sa Pacific Gas & Electric Company ("PG&E") ang mga gusto kung paano isusumite sa amin ang natuklasang mga kahinaan.

Inilalarawan ng patakarang ito kung anong mga sistema at uri ng pananaliksik ang saklaw ng patakarang ito, paano ipapadala sa amin ang mga ulat ng kahinaan, at gaano katagal namin hinihiling sa mga mananaliksik sa seguridad na maghintay bago isiwalat sa publiko ang mga kahinaan.

Hinihikayat ka naming kontakin kami para iulat ang potensiyal na mga kahinaan sa aming mga sistema alinsunod sa sumusunod na mga protokol.

Awtorisasyon

Kung natiyak namin na ginawa mo ang isang tapat na pagsisikap na sumunod sa patakaran na ito sa iyong pananaliksik sa seguridad, ituturing naming awtorisado ang iyong pananaliksik sa seguridad, makikipagtulungan kami sa iyo upang maunawaan at maresolba agad ang isyu, at hindi irerekomenda ng PG&E ang legal na aksyon kaugnay ng iyong pananaliksik sa seguridad na isinagawa sa isang paraang ayon sa patakaran na ito. Inaasahan ka, tulad ng dati, na sumunod sa lahat ng naaayong mga batas.

Mga patnubay

Sa ilalim ng patakarang ito, nangangahulugan ang "pananaliksik" ng mga aktibidad kung saan ikaw ay:

• Ipinapaalam sa amin sa lalong madaling panahon pagkaraang matuklasan mo ang isang tunay o potensiyal na isyu ng seguridad.
• Gagawin ang bawat pagsisikap upang maiwasan ang mga paglabag o pagsiwalat sa pagkapribado, pagkasira sa karanasan ng user, pagkaabala sa mga sistema ng produksiyon, o pagwasak o manipulasyon ng data.
• Gagamitin lang ang mga paghahanap sa hangganang kinakailangan upang kumpirmahin ang pagkakaroon ng kahinaan. Hindi gagamitin ang paghahanap upang magkumpromiso o mag-exfiltrate ng data, bumuo ng paulit-ulit na utos sa linya ng pag-akses, o gamitin ang paghahanap para lumipat sa ibang sistema.
• Bibigyan kami ng makatwirang haba ng panahon upang resolbahin ang isyu bago mo isiwalat ito sa publiko.
• Hindi magsusumite ng maraming ulat na mababa ang kalidad.

Sa sandaling napatunayan mong mayroong kahinaan o nakatagpo ng anumang hindi pampubliko o sensitibong data (kasama ang personal na nakikilalang impormasyon, impormasyon sa pananalapi, o impormasyon sa pag-aari o mga sikreto ng kalakalan ng anumang partido), dapat mong ihinto ang iyong pananaliksik, sabihan kami kaagad, at pumayag na hindi isiwalat ang kahinaan o data na ito sa sinumang iba pang tao.

Mga pamamaraan sa pagsusuri

Ang sumusunod na mga paraan ng pagsusuri at pananaliksik ay hindi awtorisado:

• Mga pagsusuring network denial of service (DoS o DDoS) o mga ibang pagsusuri na nakakapinsala sa access sa o pinsala sa sistema o data
• Pisikal na pagsusuri (hal., access sa opisina, mga bukas na pintuan, tailgating), social engineering (hal., phishing, vishing), o anumang ibang hindi teknikal na pagsusuri sa kahinaan
• Pagsisira o pagbabago sa mga website
• Anumang klase ng pangingikil sa paghingi ng pera o pagbabanta sa pagsisiwalat sa impormasyon
• Lumikha ng hindi makatwirang bilang ng mga account para magsagawa ng pagsusuri laban sa mga aplikasyon at serbisyo

Saklaw

Bago magdagdag ng sistema o serbisyo sa saklaw ng pananaliksik mo, siguruhin na pinahihintulutan ka o awtorisado kang magsagawa ng pagseguridad na pagsusuri gamit ang sistema o serbisyong iyon. Halimbawa, kung gagamit ka ng isang pinamamahalaang tagapagbigay ng serbisyo o software bilang serbisyo, tiyakin na ang vendor ay hayagang nag awtorisa ng pagsusuri. tulad ng pagkumpirma na umiiral ang naturang awtoridad sa kontrata ng iyong ahensiya sa provider o idinetalye ang kanilang pampublikong makukuhang patakaran. Kung hindi, dapat kang makipagtrabaho sa vendor upang makamit ang hayagang awtorisasyon. Kung hindi posibleng makuha ang awtorisasyon ng vendor, hindi mo maaaring isama ang mga sistema o serbisyong iyon sa saklaw ng iyong pananaliksik.

Ang patakarang ito ay mailalapat sa mga sumusunod na sistema at serbisyo:

• pge.com
• guide.pge.com
• recreation.pge.com
• esft.pge.com
• lyncdiscover.pge.com
• safetyactioncenter.pge.com
• wbt.firstresponder.pge.com
• *.pge.com

Anumang serbisyo na hindi hayagang nakalista sa itaas, tulad ng anumang mga konektadong serbisyo, ay hindi kasama mula sa saklaw ng patakarang ito at hindi awtorisado para sa pagsusuri o pananaliksik. Bilang dagdag, ang anumang kahinaang makita mo sa mga sistema mula sa aming mga vendor ay nasa labas ng saklaw ng patakarang ito at dapat iulat nang direkta sa vendor alinsunod sa kanilang patakaran sa pagsisiwalat (kung mayroon man). Kung hindi ka sigurado kung ang isang sistema ay saklaw o hindi, kontakin kami sa pgecirt@pge.com bago simulan ang iyong pananaliksik (o ang kontak sa seguridad para sa domain name ng sistemang nakalista sa .gov WHOIS).

Kahit nagpapaunlad at napapanatili namin ang mga sistema o serbisyong maaakses ng internet, kagustuhan at inaasahan namin ito na ang aktibong pananaliksik at pagsusuri ay isasagawa lamang sa mga sistema at serbisyong saklaw ng dokumentong ito. Kung may partikular na sistemang hindi saklaw na iniisip mong dapat suriin, mangyaring kontakin kami upang talakayin muna ito. Maaari naming palawakin ang saklaw ng patakarang ito sa pagdaan ng panahon.

Pag-ulat ng kahinaan

Ang impormasyon sa kahinaang isinumite sa ilalim ng patakarang ito ay gagamitin para sa mga layuning pangdepensa lamang, upang mapagaan o malunasan ang mga kahinaan. Kung kabilang sa iyong mga napag-alaman ay ang mga bagong tuklas na kahinaang nakakaapekto sa lahat ng user ng isang produkto o serbisyo at hindi sa PG&E lang, maaari naming ibahagi ang iyong ulat sa Cybersecurity and Infrastructure Security Agency, kung saan ito hahawakan sa ilalim ng kanilang proseso ng pagsisiwalat nang nakaugnay na kahinaan. Hindi namin ibabahagi ang iyong pangalan o impormasyon sa pagkontak nang wala kang hayag na pahintulot. Maaaring walang pagkakakilanlang isusumite ang mga ulat. Kapag nagbahagi ka ng impormasyon sa pagkontak, gagawin namin ang pinakamabuting pagsisikap na kilalanin ang pagkatanggap ng iyong ulat sa loob ng tatlong (3) araw ng negosyo.

Sa pagsumite ng isang ulat ng kahinaan, kinikilala mo na wala kang inaasahang kabayaran at hayagan mong isinasaisantabi ang anumang paghahabol ng bayad sa hinaharap laban sa Gobyerno ng U.S. kaugnay ng iyong pagsusumite.

Nais naming makakita mula sa iyo

Upang matulungan kaming panimulang suriin at bigyan ng prayoridad ang mga pagsusumite, inirerekomenda naming kasama ng iyong unang pagkontak sa email sa pgecirt@pge.com ang:

• Isang paglalarawan sa kahinaang mataas ang antas, saklaw at tindi nito.
• Ang domain na lokasyon ng kahinaan at ang potensiyal na epekto ng paghahanap.

Kapag narebyu na namin sa inisyal na impormasyon, padadalhan ka namin ng encrypted na email para puwede kang tumugon nang may partikular na mga detalye ng kahinaan, kasama ang komprehensibong paglalarawan ng mga hakbang na kailangan upang maparami ang kahinaan (makatutulong ang pruweba ng mga iskrip ng konsepto o mga screenshot).

Ano ang maaasahan mo mula sa amin

Kapag nagsumite ka ng ulat ng kahinaan sa programang ito alinsunod sa patakarang ito, paninindigan namin ang pakikipag-ugnayan sa iyo nang kasimbukas at kasimbilis hanggang maaari.

• Sa loob ng tatlong (3) araw ng negosyo, gagawin namin ang pinakamabuting pagsisikap na kilalaning natanggap ang iyong ulat.
• Sa abot ng aming kakayahan, kukumpirmahin namin sa iyo ang pagkakaroon ng kahinaan at magiging bukas kami hanggang maaari tungkol sa mga hakbang na gagawin namin sa proseso ng pagbibigay ng lunas, kabilang ang mga isyu o hamon na maaaring makaantala sa resolusyon.
• Pananatilihin namin ang bukas na diyalogo upang talakayin ang mga isyu.

Ang diskresyon sa pagsiwalat ng mga kabayaran ay tanging nasa PG&E ngunit walang pagkakataon na ang PG&E ay maglalabas ng pagsiwalat ng mga kabayaran sa mga indibidwal na nasa mga listahan ng hindi pinapahintulutan, o nasa mga bansa (hal., Cuba, Iran, North Korea, Sudan at Syria) na nasa mga listahan ng hindi pinapahintulutan.

Legal na Impormasyon sa Programang Pagsisiwalat ng Kahinaan

Mangyaring pansinin na maaaring mayroong karagdagang mga paghihigpit sa iyong kakayahang magsumite ng nakasiwalat na mga kahinaan depende sa magagamit na lokal na mga batas kung saan ka nakatira o nagtratrabaho.

Ang patakarang ito ay maaaring mapalitan at ang programang ito ay maaaring kanselahin anumang oras, at ang desisyon na magbayad sa pagsisiwalat ay tanging nasa PG&E.