Skip To Main Content
ترین جستجوهای PGE.COM
CARE. ببینید آیا واجد شرایط تخفیف هستید یا خیربازپرداختها. بازپرداختهای PG&E را برای منزل خود پیدا کنیدقطعیها. موارد قطع برق را گزارش و مشاهده کنیدکمک هزینه مرجع پزشکی. از نحوه درخواست مطلع شوید.مشاغل/فرصتهای کاری. در مورد مشاغل موجود در PG&E اطلاعات کسب کنید.برق خورشیدی. شروع به استفاده از انرژی پاک کنید.صورتحساب غیرکاغذی. از نحوه ثبت نام مطلع شوید.
مقدمه
هدف از این سیاست، ارائه دستورالعملهای روشن به محققان امنیتی مجاز برای انجام فعالیتهای کشف آسیبپذیری و نیز اعلام اولویتهای Pacific Gas & Electric Company's ("PG&E") در نحوه ارائه آسیبپذیریهای کشف شده به ما است.
این سیاست توضیح میدهد که کدام سیستمها و انواع تحقیق تحت پوشش این سیاست هستند، چگونه باید گزارشهای آسیبپذیری را برای ما ارسال شوند، و از محققان امنیتی میخواهیم که قبل از افشای عمومی آسیبپذیریها تا چه مدت صبر کنند.
از شما میخواهیم که با ما تماس بگیرید و طبق پروتکلهای زیر آسیبپذیریهای بالقوه در سیستم ما را گزارش دهید.
مجوز
اگر تشخیص دهیم که شما در طول تحقیق امنیتی خود با حسن نیت تلاش کردهاید این سیاست را رعایت کنید، تحقیق امنیتی شما را مجاز خواهیم شمرد، با شما همکاری خواهیم کرد تا این مسئله را به سرعت درک و حل و فصل کنید، و PG&E اقدام قانونی را در مقابل تحقیقات امنیتی شما که مطابق با این سیاست انجام شده است، توصیه نخواهد کرد. طبق معمول، از شما انتظار میرود که تمام قوانین حاکم را رعایت کنید.
دستورالعملها
طبق این سیاست، "تحقیق" به فعالیتهایی گفته میشود که در آن شما:
- بعد از کشف یک مسئله امنیتی واقعی یا احتمالی هر چه سریعتر ما را مطلع میکنید.
- تمام تلاش خود را به کار میگیرید تا از نقض یا افشای حریم خصوصی، تخریب تجربه کاربر، اختلال در سیستمهای تولید، یا تخریب یا دستکاری داده خودداری کنید.
- فقط به مقداری که برای تایید وجود آسیبپذیری لازم است، بهرهگیری کنید. برای به خطر انداختن یا حذف داده، ایجاد دسترسی مداوم به خط فرمان، یا برای روی برگرداندن به سایر سیستمها بهرهگیری نکنید.
- قبل از افشای عمومی آن، به ما به اندازه کافی فرصت دهید تا این مسئله را حل کنیم.
- حجم زیادی از گزارشهای بیکیفیت را ارائه ندهید.
به محض اینکه از وجود یک آسیبپذیری مطلع میشوید یا با هر نوع داده غیر-عمومی یا حساس برخورد می کنید (اعم از اطلاعات شخصی، اطلاعات مالی، یا اطلاعات اختصاصی یا اسرار تجاری هر یک از طرفین)، باید تحقیق خود را متوقف کنید، بلافاصله به ما اطلاع دهید، و موافقت کنید که این آسیبپذیری یا داده را در اختیار فرد دیگری قرار نمیدهید.
روشهای آزمایش
روشهای آزمایش و تحقیق زیر مجاز نیستند:
- آزمایش محرومسازی شبکه از سرویس (DoS یا DDoS) یا سایر آزمایشهایی که دسترسی به یک سیستم یا داده را مختل میکنند یا به آن آسیب میرسانند
- آزمایش فیزیکی (مثلاً، دسترسی اداری، دربهای باز، دنبالهروی)، مهندسی اجتماعی (مثلاً فیشینگ، ویشینگ)، یا هر آزمایش آسیبپذیری غیر-فنی دیگر
- تخریب یا تغییر وبسایتها
- اخاذی از هر نوع از طریق درخواست پول یا تهدید به افشای اطلاعات
- ایجاد تعداد نامعقولی حساب برای انجام آزمایش علیه برنامهها و خدمات
محدوده
قبل از افزودن یک سیستم یا خدمات به محدوده تحقیق خود، مطمئن شوید که مجوز دارید یا مجاز هستید با استفاده از آن سیستم یا خدمات آزمایش امنیتی انجام دهید. مثلاً، اگر از یک ارائهدهنده خدمات مدیریتشده یا نرمافزار به عنوان خدمات استفاده میکنید، مطمئن شوید که فروشنده صراحتاً چنین آزمایشی را مجاز اعلام کرده است، از قبیل تایید اینکه این مجوز در قرارداد آژانس شما با ارائهدهنده وجود دارد یا سیاست دسترسی عمومی را شرح میدهد. در غیر این صورت، باید برای اخذ مجوز صریح خود با فروشنده همکاری کنید. اگر امکان اخذ مجوز فروشنده وجود ندارد، نمیتوانید آن سیستمها یا خدمات را در محدوده تحقیقات خود بگنجانید.
این سیاست برای سیستمها و خدمات زیر اعمال میشود:
- pge.com
- guide.pge.com
- recreation.pge.com
- esft.pge.com
- lyncdiscover.pge.com
- safetyactioncenter.pge.com
- wbt.firstresponder.pge.com
- *.pge.com
هر خدماتی که در بالا صراحتاً قید نشده است، از قبیل هر گونه خدمات متصل، از محدوده این سیاست خارج است و آزمایش یا تحقیق روی آن مجاز نیست. به علاوه، هر گونه آسیبپذیری که شما در سیستمهای فروشندگان ما پیدا میکنید، خارج از محدوده این سیاست هستند و طبق سیاست افشای اطلاعات (در صورت وجود)، باید مستقیماً به فروشنده گزارش داده شوند. اگر مطمئن نیستید که آیا یک سیستم در محدوده قرار دارد یا خیر، قبل از شروع تحقیقات خود از طریق pgecirt@pge.com (یا از طریق مسئول امنیت مربوط به نام دامنه سیستم مندرج در .gov WHOIS) با ما تماس بگیرید.
گرچه ما سایر سیستمها یا خدمات قابل دسترسی به اینترنت را توسعه میدهیم و حفظ میکنیم، میخواهیم و انتظار داریم که تحقیقات و آزمایش فعال فقط روی سیستمها و خدمات تحت پوشش محدوده این سند انجام گیرند. اگر یک سیستم خاص در محدودهای نیست که از نظر شما ارزش آزمایش داشته باشد، لطفاً با ما تماس بگیرید تا قبل از هر چیز درباره آن گفتگو کنیم. ممکن است ما محدوده این سیاست را به مرور زمان افزایش دهیم.
گزارش یک آُسیبپذیری
از اطلاعات آسیبپذیری ارائه شده طبق این سیاست فقط برای اهداف دفاعی استفاده خواهد شد، تا آسیبپذیریها کاهش بیابند یا رفع شوند. اگر یافتههای شما شامل آسیبپذیریهایی باشد که تازه کشف شدهاند و نه فقط روی PG&E بلکه روی تمام کاربران یک محصول یا خدمات تاثیر میگذارند، ما گزارش شما را در اختیار Cybersecurity and Infrastructure Security Agency قرار میدهیم، که در آنجا طبق فرآیند افشای آسیبپذیری هماهنگشده آنها به آن رسیدگی خواهد شد. ما بدون اجازه صریح شما، نام یا اطلاعات تماس شما را به اشتراک نخواهیم گذاشت.
برای گزارش یک آسیبپذیری، از طریق pgecirt@pge.com با ما تماس بگیرید.
میتوانید گزارشها را به طور ناشناس ارائه دهید. اگر اطلاعات تماس را ارائه دهید، ما تمام تلاش خود را به کار میگیریم تا ظرف سه (3) روز کاری دریافت گزارشتان را به شما اطلاع دهیم.
با ارائه یک گزارش آسیبپذیری، شما تایید میکنید که انتظار دریافت وجه ندارید و صراحتاً از اقامه دعوی علیه دولت آمریکا در آینده برای دریافت وجه در قبال ارائه گزارش خود صرفنظر میکنید.
آنچه میخواهیم از شما ببینیم
برای کمک به ما در ترسیم و اولویتبندی ارائهها، توصیه میکنیم که موارد زیر را در اولین تماس خود از طریق ایمیل به pgecirt@pge.com بگنجانید:
- توضیحات مهم درباره آسیبپذیری، محدوده و شدت آن.
- مکان دامنه آسیبپذیری و تاثیر بالقوه بهرهبرداری.
پس از اینکه اطلاعات اولیه را بررسی کردیم، یک ایمیل رمزگذاریشده برای شما ارسال خواهیم کرد تا بتوانید در پاسخ به آن جزئیات ویژه آسیبپذیری، اعم از یک توضیح جامع درباره مراحل مورد نیاز برای بازتولید آسیبپذیری را ارائه دهید (مدرک متنهای مفهومی یا عکس از صفحات مفید هستند).
آنچه میتوانید از ما انتظار داشته باشید
وقتی مطابق با این سیاست یک گزارش آسیبپذیری را به این برنامه ارائه میدهید، ما متعهد هستیم که به طور علنی و در اسرع وقت با شما هماهنگ کنیم.
- ظرف سه (3) روز کاری، ما تمام تلاش خود را به کار میگیریم تا اعلام کنیم که گزارش شما را دریافت کردهایم.
- تا جاییکه در حد توان ما است، وجود آسیبپذیری را نزد شما تایید خواهیم کرد و تا حد امکان درباره مراحلی که در طول روند بهبود انجام میدهیم، اعم از مسائل یا چالشهایی که ممکن است حل مسئله را به تاخیر بیاندازند، شفافسازی میکنیم.
- ما یک گفتگوی آزاد برای بحث درباره مسائل خواهیم داشت.
اختیارات مربوط به وجوه پرداختی افشا منحصراً در اختیار PG&E است اما PG&E در هیچ شرایطی برای افرادی که در فهرست تحریمها قرار دارند، یا در کشورهایی هستند که در فهرست تحریم قرار دارند (مثلاً کوبا، ایران، کره شمالی، سودان و سوریه) وجوه پرداختی افشا صادر نمیکند.
اطلاعات حقوقی برنامه افشای آسیبپذیری
لطفاً توجه کنید که ممکن است بسته به قوانین محلی جاییکه در آن زندگی یا کار میکنید، محدودیتهای دیگری برای توانایی شما در ارائه آسیبپذیریهای افشا شده وجود داشته باشد.
ممکن است این سیاست تغییر کند و این برنامه در هر زمانی لغو شود، و تصمیم درباره پرداخت یا عدم پرداخت وجه افشا فقط با PG&E است.