Política de divulgación de vulnerabilidades

Esta política está destinada a dar a los investigadores de seguridad legítimos directrices claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir las preferencias de Pacific Gas & Electric Company (“PG&E”) sobre cómo enviarnos las vulnerabilidades descubiertas.

Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política, cómo enviarnos informes de vulnerabilidad y cuánto tiempo requerimos que los investigadores de seguridad esperen antes de divulgar públicamente las vulnerabilidades.

Le recomendamos que se comunique con nosotros para informar las posibles vulnerabilidades en nuestros sistemas de acuerdo con los siguientes protocolos.

Autorización

Si determinamos que ha hecho un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación de seguridad está autorizada, trabajaremos con usted para comprender y resolver el problema rápidamente, y PG&E no recomendará acciones legales relacionadas con su investigación de seguridad realizada de manera coherente con esta política. Se espera, como siempre, que cumpla con todas las leyes aplicables.

Pautas

En virtud de esta política, “investigación” significa actividades en las que:

• Nos notifica lo antes posible después de descubrir un problema de seguridad real o potencial.
• Hace todo lo posible para evitar violaciones o divulgaciones de privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción, o la destrucción o manipulación de datos.
• Utiliza exploit solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utiliza un exploit para comprometer o exfiltrar datos, establecer acceso persistente a la línea de comandos o utilizar el exploit para pivotar a otros sistemas.
• Nos proporciona un período de tiempo razonable para resolver el problema antes de divulgarlo públicamente.
• No envía un gran volumen de informes de baja calidad.

Una vez que haya establecido que existe una vulnerabilidad o encuentre datos no públicos o confidenciales (incluida la información de identificación personal, información financiera o información de propiedad exclusiva o secretos comerciales de cualquier parte), debe detener su investigación, notificarnos de inmediato y aceptar no divulgar esta vulnerabilidad o datos a nadie más.

Métodos de prueba

Los siguientes métodos de prueba e investigación no están autorizados:

• Pruebas de denegación de servicio de red (denial of service, DoS o DDoS) u otras pruebas de circunstancias que perjudiquen el acceso o dañen un sistema o datos
• Pruebas físicas (p. ej., acceso a oficinas, puertas abiertas, tailgating), ingeniería social (p. ej., phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica
• Desfiguración o alteración de sitios web
• Extorsión de cualquier tipo pidiendo dinero o amenazando con divulgar información
• Crear un número irrazonable de cuentas para realizar pruebas con aplicaciones y servicios

Alcance

Antes de agregar un sistema o servicio al alcance de su investigación, asegúrese de que se le permita realizar pruebas de seguridad utilizando ese sistema o servicio. Por ejemplo, si utiliza un proveedor de servicios gestionados o software como servicio, asegúrese de confirmar que el proveedor ha autorizado explícitamente dichas pruebas, como confirmar que dicha autoridad existe en el contrato de su agencia con el proveedor o se detalla su política disponible públicamente. De lo contrario, debe trabajar con el proveedor para obtener una autorización explícita. Si no es posible obtener la autorización del proveedor, no puede incluir esos sistemas o servicios en el alcance de su investigación.

Esta política se aplica a los siguientes sistemas y servicios:

• pge.com
• guide.pge.com
• recreation.pge.com
• esft.pge.com
• lyncdiscover.pge.com
• safetyactioncenter.pge.com
• wbt.firstresponder.pge.com
• *.pge.com

Cualquier servicio que no esté expresamente mencionado anteriormente, como los servicios conectados, está excluido del alcance de esta política y no está autorizados para pruebas o investigaciones. Además, cualquier vulnerabilidad que encuentre en los sistemas de nuestros proveedores queda fuera del alcance de esta política y debe informarse directamente al proveedor de acuerdo con su política de divulgación (si corresponde). Si no está seguro de si un sistema está en el alcance o no, contáctenos enviando un correo electrónico a pgecirt@pge.com antes de comenzar su investigación (o en el contacto de seguridad para el nombre de dominio del sistema que figura en el .gov WHOIS).

Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles por Internet, es nuestro deseo y expectativa que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema en particular que no está en el alcance y que cree que merece ser sometido a pruebas, comuníquese con nosotros para analizarlo primero. Podemos aumentar el alcance de esta política con el tiempo.

Informar una vulnerabilidad

La información de vulnerabilidad enviada en virtud de esta política se utilizará solo para fines defensivos, para mitigar o remediar vulnerabilidades. Si sus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a PG&E, podemos compartir su informe con la Cybersecurity and Infrastructure Security Agency donde se manejará bajo su proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre o información de contacto sin su permiso expreso. Los informes pueden enviarse de manera anónima. Si comparte información de contacto, haremos todo lo posible para acusar recibo de su informe dentro de los tres (3) días hábiles.

Al enviar un informe de vulnerabilidad, reconoce que no tiene expectativas de pago y que renuncia expresamente a cualquier reclamación de pago futuro contra el gobierno de los EE. UU. en relación con su envío.

Lo que nos gustaría ver de usted

Con el fin de ayudarnos a clasificar y priorizar los envíos, recomendamos que su primer contacto por correo electrónico a pgecirt@pge.com incluya:

• Una descripción de alto nivel de la vulnerabilidad, su alcance y gravedad.
• La ubicación del dominio de la vulnerabilidad y el impacto potencial de la explotación.

Una vez que revisemos la información inicial, le enviaremos un correo electrónico cifrado para que pueda responder con detalles específicos de la vulnerabilidad, incluida una descripción completa de los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto o las capturas de pantalla son útiles).

Lo que puede esperar de nosotros

Cuando envía un informe de vulnerabilidad a este programa de acuerdo con esta política, nos comprometemos a coordinar con usted de la manera más abierta y rápida posible.

• En un plazo de tres (3) días hábiles, haremos todo lo posible para acusar recibo de su informe.
• En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos tomando durante el proceso de corrección, incluidos los problemas o desafíos que pueden retrasar la resolución.
• Mantendremos un diálogo abierto para analizar los problemas.

La discreción sobre los pagos de divulgación recae exclusivamente en PG&E, pero en ninguna circunstancia PG&E emitirá pagos de divulgación a las personas que figuran en las listas de sanciones, o que se encuentran en países (por ejemplo, Cuba, Irán, Corea del Norte, Sudán y Siria) que figuran en las listas de sanciones.

Información legal sobre el programa de divulgación de vulnerabilidades

Tenga en cuenta que puede haber restricciones adicionales en su capacidad para enviar vulnerabilidades divulgadas dependiendo de las leyes locales aplicables donde vive o trabaja.

Esta política puede cambiarse y este programa puede cancelarse en cualquier momento, y la decisión de pagar un pago de divulgación recae únicamente en PG&E.